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1. APRESENTAÇÃO 


No Brasil, o processo eleitoral, o sistema eleitoral e os direitos políticos tiveram 
incontáveis transformações, sendo que o voto percorreu caminho laborioso até que 
fosse contemplado como direito de todos os cidadãos brasileiros. 

Com efeito, a Constituição de 1824, outorgada pelo Imperador Dom Pedro I, de¬ 
terminava a realização de eleições para a escolha de representantes dos poderes le¬ 
gislativo e executivo. Naquela época, o eleitor apto deveria pertencer ao sexo masculi¬ 
no e ter no mínimo 25 anos. Além disso, havia o emprego do voto censitário, sendo 
que o cidadão só estaria apto a votar caso comprovasse renda mínima anual, tornan¬ 
do 0 voto um instrumento de ação política exclusivo das elites. 

Após, com a Proclamação da República do Brasil, em 1889, foi instaurada a forma 
Republicana Federativa Presidencialista do Governo no Brasil, findando a soberania do 
imperador D. Pedro II e a Monarquia Constitucional do Império. 

Na Constituição de 1891 foi determinado que o primeiro Presidente da República 
deveria ser eleito pelo Congresso Constituinte e, os subsequentemente, diretamente 
pelo povo. 

Com a Constituição de 1934, o voto tornou-se obrigatório para as mulheres, bem 
como se criou a Justiça Eleitoral, sendo que, pela primeira vez, se inseriu na Constitui¬ 
ção capítulos sobre a ordem social, direitos trabalhistas e previdência social, direito ci¬ 
vil e administrativo, educação, cultura e segurança nacional. 

já a Constituição Federal de 1937 possuía feição ditatorial, embora contemplasse 
em seu artigo 1^ que "O Brasil é uma República. O poder político emana do povo e é 
exercido em nome dele e no interesse do seu bem-estar, da sua honra, da sua inde¬ 
pendência e da sua prosperidade". 

Depois de quase uma década, com a Constituição de 1946 e Lei Constitucional n^ 
9, liberdades democráticas foram reconquistadas, estabelecendo, inclusive, eleições 
diretas. A nova Constituição reestabeleceu o princípio da separação e harmonia dos 
poderes e proibiu a organização, registro e funcionamento de partidos políticos ou as¬ 
sociações que contrariavam o regime democrático. 
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Após duas décadas, com o rompimento do Estado Democrático de Direito por 
meio do golpe militar de 1964, que depôs o Presidente da República em exercício, João 
Goulart, após renúncia de Jânio Quadros, viveu-se novo período ditatorial, culminando 
com a Constituição de 1967 e Emenda 1, de 1969, que estabeleceram, entre outras 
disposições, eleições indiretas para o cargo de Presidente da República e governador, 
extinção das imunidades parlamentares, suspensão de direitos e garantias fundamen¬ 
tais, notadamente o habeas corpus para crimes políticos e fechamento do Congresso 
Nacional. 

Em 1985 se encerrou o longo período ditatorial e em 1988 foi promulgada a atual 
Constituição da República Federativa do Brasil, restabelecendo as eleições diretas e os 
direitos individuais fundamentais e sociais, redefinindo o Brasil como um país demo¬ 
crático. 

Diante da história de luta pelo voto e pela democracia, é imperioso que se ado¬ 
tem todas as medidas necessárias para tornar o processo eleitoral absolutamente 
transparente ao povo brasileiro, bem como que se busque o aperfeiçoamento do siste¬ 
ma democrático do país para se obter dos eleitores a inteireza de sua vontade, sem 
qualquer mácula ou engano. Este fim, para ser alcançado, exige a garantia de que o 
sistema eleitoral esteja protegido de abusos, fraudes e erros, conforme se deflui do 
art. 14, § 10 da Constituição Federal, que explicita o princípio de proteção à legitimida¬ 
de e normalidade das eleições contra os atos de abuso, corrupção e fraude. 

Não se pode perder de vista que a eleição é um processo que necessita evoluir 
no tempo, justamente para garantir a lisura de seu resultado contra as tentativas de 
manipulação do sistema eleitoral por aqueles que buscam o poder sem qualquer es¬ 
crúpulo ou consciência democrática. 

Foi justamente a busca por este aperfeiçoamento que levou a Justiça Eleitoral 
brasileira a iniciar o processo de informatização das eleições, em 1986, com o reca- 
dastramento de milhões de eleitores. Em 1994 ocorreu, pela primeira vez, a totaliza- 
ção das eleições gerais pelo computador central, no Tribunal Superior Eleitoral. Em 
1995, iniciaram-se os trabalhos de informatização do voto, com a apresentação de um 
protótipo da urna eletrônica, sendo que durante as eleições municipais de 1996 o pro¬ 
jeto foi concluído e, com isso, iniciada a primeira votação eletrônica no Brasil, com a 
implantação do voto eletrônico para todo eleitorado brasileiro no ano de 2000. 
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A informatização do voto, conforme dispõe o Egrégio Tribunal Superior Eleitoral: 

"Surgiu para agregar mais quaiidade, agiiidade, transparên¬ 
cia, segurança e robustez ao processo eieitorai. Tem sido 
uma ferramenta efetiva para o combate às fraudes. É um 
produto genuinamente brasiieiro, único no mundo, concebi¬ 
do e construído sob a orientação do TSE, tanto o hardware 
das urnas eietrônicas como os miihares de programas com¬ 
putacionais que integram o sistema eletrônico de votação”. 

Ainda nas palavras deste E. Tribunal Superior Eleitoral, dentre as principais pre¬ 
missas estabelecidas para o processo eletrônico de voto, estão: 

• Solução universal - registro do voto pelo número do candi¬ 
dato ou partido; 

• Aderência à legislação vigente, com possibilidade de evo¬ 
lução para garantir que mudanças na legislação eleitoral 
não obriguem alterações na urna eletrônica; 

• Processo amigável, de fácil utilização pelo eleitor, com a 
visualização na tela dos dados do candidato antes da con¬ 
firmação do voto; 

• Custo reduzido - o projeto deveria ser economicamente 
viável, em função do elevado número de seções eleitorais; 

• Perenidade - possibilidade de uso em várias eleições, dimi¬ 
nuindo o custo do voto; 

• Segurança - eliminação da possibilidade de fraude no re¬ 
gistro do voto e apuração do resultado; 

• Facilidade na logística - pequena, rústica, peso reduzido, 
de fácil armazenamento e transporte; 

• Autonomia - uso de bateria onde não há energia elétrica. 

Estas características, que são universais, é que levaram diversas democracias a 

aderir ao sistema eletrônico de votação. 

Assim é que, além do Brasil, há diversos países, em diferentes continentes, que 
atualmente fazem uso das urnas eletrônicas, com especificações e procedimentos di¬ 
ferentes, tais como Argentina, Bélgica, Canadá, Equador, Estados Unidos, índia, Méxi¬ 
co, Peru, Rússia, Vaticano e VenezuelaT 

1 http://www.branazo.eng.br/voto-e/textos/modelosUE.htm 
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Por outro lado, o mecanismo eletrônico não é utilizado em diversos países, como 
Holanda, Alemanha, Irlanda, Inglaterra e ParaguaP, que testaram a utilização de urnas 
eletrônicas e desistiram por compreenderem que o sistema não seria seguro. 

Se, por um lado, a votação eletrônica trouxe agilidade ao processo eleitoral e 
apresentou-se como caminho para evitar inúmeras fraudes, como, por exemplo, o 
"mapismo"^ é possível que abriu as portas para outros tipos de fraudes, mais sofisti¬ 
cadas e de difícil constatação. Ressalte-se que, independentemente de qualquer mani¬ 
pulação de dados, o sistema eletrônico de votação, por suas próprias características 
técnicas, é obscurantista, pois aos leigos é impossível compreender como se dá o pro¬ 
cesso eletrônico de votação, o que enseja inúmeras especulações. 

A partir desta realidade, os atores do processo eleitoral - candidatos, juízes elei¬ 
torais, Ministério Público, partidos políticos. Ordem dos Advogados do Brasil - necessi¬ 
tam não só garantir a normalidade e legitimidade das eleições, mas também agirem 
de forma a ampliar a transparência, evitando-se que a legitimidade do exercício do po¬ 
der seja maculada perante o titular da soberania nacional. 

As últimas eleições revelaram, de forma ímpar, a verdade desta afirmação, o 
que, inclusive, serviu de fundamento para se deferir esta Auditoria. Como será de¬ 
monstrado neste trabalho, é inquestionável que ainda há muito a se caminhar para 
garantir a esperada transparência das eleições, principalmente uma atuação mais pro¬ 
fícua de partidos e candidatos em seu dever de fiscalizar e uma maior amplitude de 
procedimentos de auditagem para efetivo controle do resultado eleitoral. 


2 http://www.brunazo.eng.br/voto-e/textos/modelosUE.htm 

3 Mapismo é um conhecido processo de fraude eleitoral que se aplicava quando a totalização dos votos ainda se dava 
por processo manual de votos. As somas dos votos eram anotadas em mapas e entre a passagem da totalização de 
um mapa para outro a fraude era aplicada anotando-se um número maior de votos que o efetivamente atribuído a 
determinado candidato. 
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2. INTRODUÇÃO 


Os trabalhos da Auditoria Especial começaram com a coleta e organização dos 
principais tipos de denúncias que foram publicadas na Internet por eleitores no Brasil 
e no exterior. Em síntese, as denúncias faziam referência a falhas nos equipamentos, a 
erros em processo e a procedimentos indevidos no TSE, TRE's, zonas e seções eleito¬ 
rais. 

Essa coleção de denúncias foi a base para se montar um plano inicial de trabalho 
que deveria ser reformulado e ajustado pari passu às novas e pouco previsíveis desco¬ 
bertas e necessidades que poderiam aflorar durante sua evolução, cenário típico em 
investigações exploratórias onde apenas o ponto de partida é bem conhecido. 

Esse método investigativo, essencial para a efetiva apuração das denúncias, en¬ 
controu inúmeros limites, notadamente pelos diversos obstáculos que surgiram para 
sua efetiva aplicação. Hoje, como está claro para todas as partes envolvidas com a au¬ 
ditoria, os procedimentos de perícia previstos em leis e regulamentos da Justiça Eleito¬ 
ral são insuficientes para garantia da transparência do processo de eleições, necessi¬ 
tando não só de um aperfeiçoamento de métodos como, também, de uma mudança 
de concepção por parte de todos aqueles que participam diretamente do processo 
eleitoral. 

De um lado, candidatos, partidos e coligações precisam participar efetivamente 
de todas as etapas do processo eleitoral, fazendo-se representar por pessoas com ca¬ 
pacidade real para acompanhar os procedimentos jurídicos e técnicos inerentes a to¬ 
dos os procedimentos de coleta, apuração e totalização dos votos. 

De outro, a Justiça Eleitoral necessita alterar sua concepção de fiscalização do 
processo eleitoral, de forma a permitir a mais ampla e irrestrita auditagem do proces¬ 
so, único caminho para se atestar a regularidade das eleições. 

Hoje, o TSE tem o poder de comandar os rumos da investigação mesmo sendo o 
próprio investigado em questões técnicas, porque acumula papéis tão diversos como 
regulamentar, ser Tribunal julgador, definir normas técnicas, desenvolver os sistemas 
eletrônicos e operar esse sistema para coletar e totalizar votos. 

Esses múltiplos papéis impõem ao Tribunal o dever de apoiar e mandar aprofun¬ 
dar quaisquer investigações sobre si mesmo, de forma livre e ampla, sem opor obstá¬ 
culos que impeçam qualquer resultado conclusivo da fiscalização operada. 
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0 certo é que o Tribunal se afastou das melhores práticas e normas mundiais de 
auditoria sob a concepção de que exames independentes e profundos colocariam em 
risco a segurança do sistema eleitoral, afastando-se da consagrada prática de que a 
transparência aumenta a segurança e reduz riscos. 

Como será visto adiante, essa postura viola tanto os princípios e determinações 
da Administração Pública sobre transparência e prestação de contas ao cidadão, como 
também as diretrizes do próprio Poder Judiciário sobre resolução de questões onde há 
conflito de interesses e as diretrizes sobre imparcialidade, contraditório, produção de 
provas técnicas e exames periciais, a exigir uma efetiva mudança de paradigmas da 
fiscalização das eleições. 


3. SUMÁRIO DOS TRABALHOS 


Os exames realizados pela Auditoria Especial a respeito das denúncias referentes 
aos sistemas eleitorais e aos procedimentos realizados pela infraestrutura do TSE es¬ 
tão sumarizados na tabela a seguir e detalhados nos próximos capítulos. 

Em síntese, em função do grande volume, as denúncias foram organizadas se¬ 
gundo seus principais atributos e, em seguida, buscou-se identificar sua veracidade 
junto à área, processo ou componente do sistema eleitoral que é responsável pela pre¬ 
venção, correção e guarda da trilha de auditoria correspondente. 


Dessa maneira buscou-se avaliar tanto a procedência, ou não, das denúncias so¬ 
bre supostas falhas ou procedimentos indevidos internos ou externos, como também o 
cumprimento pela infraestrutura do TSE dos requisitos relacionados à prevenção e cor¬ 
reção dessas falhas ou procedimentos indevidos. Em função das limitações impostas 
aos trabalhos da Auditoria Especial, muitas avaliações podem apresentar resultados 
genéricos ou parciais, a serem aprofundadas ou complementadas oportunamente. A 
tabela a seguir apresenta os atributos avaliados e resultados alcançados conforme a 
seguinte legenda: 



TSE demonstrou conformidade com o requisito 
Insuficiente para comprovar conformidade 
TSE demonstrou não conformidade 
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Os atributos e resultados da Auditoria Especial estão indicados a seguir: 


1 

^QUISITOS 

AVALI¬ 

AÇÃO 

PRINCIPAIS REFERÊNCIAS 

1. 

GOVERNANÇA DO SISTEMA ELEITORAL 

1.1 

Instituição de governança do 
sistema eleitoral 

c 

TSE instituiu planejamento estraté¬ 
gico que 0 obriga, a partir da elei¬ 
ção de 2014, a assegurar transpa¬ 
rência e segurança e manter ali¬ 
nhamento entre discurso e prática 
nas questões pertinentes ao siste¬ 
ma eleitoral. (Item 3.2, p.24) 

1.3 

Conformidade do TSE no aten¬ 
dimento de solicitações neces¬ 
sárias ao desempenho dos tra¬ 
balhos de auditoria 

NC 

TSE comprovou transparência 
quanto à página na Internet sobre 
execução financeira, divulgação do 
repositório de dados e estatísticas 
eleitorais, processuais e de julga¬ 
mentos. Contudo, deixou de aten¬ 
der aos pedidos de informações 
técnicas de interesse desta Audito¬ 
ria e determinações da Lei 12.527 
sobre Acesso às Informações de In¬ 
teresse da Sociedade (item 3.4. 
p.32) 

1.4 

Conformidade do TSE da pres¬ 
tação de contas eleitorais e 
partidárias 

C 

Adequado no âmbito da presente 
auditoria (item 3.2, p.24) 

1.5 

Conformidade do TSE sobre re¬ 
latórios de gestão 

C 

Adequado no âmbito da presente 
auditoria (item 3.2, p.24) 

1.6 

Conformidade do TSE quanto à 
qualidade da informação públi¬ 
ca sobre o sistema eleitoral 

1 

0 TSE foca responsabilidade social 
como um Tribunal aberto à comu¬ 
nidade e responsabilidade ambien¬ 
tal no combate ao desperdício e 
manutenção de Ouvidoria com ca¬ 
nais para orientar o eleitor. Contu¬ 
do, para efeito desta Auditoria Es¬ 
pecial, não demonstrou atender 
princípios que o próprio Tribunal 
estabeleceu quanto a dar respos¬ 
tas efetivas e concretas aos ques¬ 
tionamentos (item 3.5, p. 33) 

1.7 

CONFORMIDADE DE COMITÊS: 
Comprovar conformidade do 
TSE nas questões de estrutura 
relacionadas a Comitês e Con¬ 
selhos 

C 

A presente Auditoria Especial pôde 
verificar a operação dos Comitês e 
Conselhos nas questões relaciona¬ 
das ao sistema eleitoral 
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AVALI¬ 

AÇÃO 


1.8 


1.9 


Conformidade da gestão de ris¬ 
cos pelo TSE 


NC 


Conformidade do Controle 
terno e Auditoria no TSE 


In- 


NC 


PRINCIPAIS REFERENCIAS 


Abrange a metodologia para ge¬ 
renciamento de projetos, progra¬ 
mas e portfólios. Considerando a 
sociedade como cliente preferenci¬ 
al do Escritório de Projetos, o TSE 
não conseguiu demonstrar cumpri¬ 
mento das demandas de informa¬ 
ções claras, técnicas e objetivas 
sobre redução de riscos operacio¬ 
nais, melhor distribuição de infor¬ 
mações sobre projetos e comparti¬ 
lhamento das lições apreendidas 
sobre projetos anteriores (item 3.6, 
p. 34) 

Essa dimensão de análise endere¬ 
ça diversos indicadores, como es¬ 
tar vinculado à Presidência, fiscali¬ 
zar contratos e gerir riscos. No âm¬ 
bito deste trabalho cumpre notar 
que não foram constatados retor¬ 
nos efetivos da Auditoria Interna 
com relação às denúncias em 
questão, para os apontamentos 
das auditorias anteriores e para os 
pontos reiterados na presente Au¬ 
ditoria Especial, especialmente 
quanto à possível falta de liberda¬ 
de de ação da Auditoria nas de¬ 
núncias envolvendo alta tecnologia 
e fornecedores externos, efetiva 
fiscalização na entrega, desenvol¬ 
vimento e utilização de componen¬ 
tes de alta tecnologia e omissões 
ou deficiências na gestão de riscos 
frente à grande quantidade de de¬ 
núncias.(item 3.6, p. 34) 
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AVALI¬ 

AÇÃO 


1.10 


1.11 


Conformidade do TSE sobre se¬ 
gurança da informação 


NC 


Conformidade do TSE na me¬ 
lhoria de processos 


NC 


PRINCIPAIS REFERENCIAS 


Essa dimensão de análise endere¬ 
ça indicadores como a Comissão 
de Segurança da Informação do 
Tribunal, instituição de políticas e 
avaliação do seu gerenciamento. 
No âmbito da presente Auditoria 
Especial não foram localizadas 
ações efetivas de segurança da in¬ 
formação no que concerne apurar 
e responder concretamente e obje¬ 
tivamente às denúncias, às críticas 
relacionadas a vulnerabilidades do 
sistema eleitoral e às demandas 
por investigações, auditorias e pe¬ 
rícias mais profundas e transpa¬ 
rentes (item 3.6, p. 34) 

TSE declara compromisso com di¬ 
versas melhorias de gerenciamen¬ 
to. Contudo, no âmbito da presen¬ 
te Auditoria Especial demonstrou 
não ter atendido pontos específi¬ 
cos deste trabalho relacionados ao 
compromisso de satisfação do pú¬ 
blico alvo, deixando de tratar os 
resultados indesejados de forma a 
aumentar a satisfação do cidadão. 
Nessa mesma linha, não ficou cla¬ 
ro se 0 TSE fiscalizou e aplicou 
sanções ao receber produtos tec¬ 
nológicos em desacordo com as 
melhores práticas mundiais. Na 
avaliação de competências e mo¬ 
delos gerenciais não ficou claro se 
0 TSE considerou as questões de 
transparência e apoio às auditorias 
de questões tecnológicas de forma 
independente da estrutura hierár¬ 
quica (item 3.7, p. 35) 
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AVALI¬ 

AÇÃO 


1.12 


1.13 


1.14 


1.15 


Conformidade do TSE na Go¬ 
vernança de TI 


NC 


Governança de TI no licencia¬ 
mento do sistema operacional 
da Urna 


Governança do TSE quanto aos 
sistemas aplicativos 


NC 


NC 


Governança do TSE sobre crip¬ 
tografia e assinatura digital 


NC 


PRINCIPAIS REFERENCIAS 


A atuação da presente Auditoria 
Especial confirmou o alinhamento 
da gestão de TI às diretrizes do Tri¬ 
bunal e à preocupação de não ge¬ 
rar prejuízos à imagem da institui¬ 
ção. Contudo, se apurou descum- 
primento da governança de TI com 
relação à análise transparente das 
denúncias e riscos apontados pela 
sociedade e reiteradas auditorias. 
Em lugar de aprofundar avaliações 
abertas e apresentar resultados de 
forma transparente, a governança 
de TI se mostrou voltada à prote¬ 
ção da própria estrutura e não de 
um claro e aberto aprofundamento 
conjunto das investigações (Item 
3.7, p. 35) 

Não se constatou que o TSE cum¬ 
pra os termos do licenciamento do 
sistema operacional utilizado na 
Urna Eletrônica (item 3.8, p. 37) 

Não se constatou que o TSE cum¬ 
pra os termos do licenciamento do 
sistema operacional utilizado na 
Urna Eletrônica (item 3.8, p. 37) 

O TSE aceita no sistema eleitoral a 
existência de código e serviços de 
autenticação providos pelo CE- 
PESC, constituindo em ponto críti¬ 
co de falha e eventual procedi¬ 
mento indevido que pode influen¬ 
ciar quase todas as rotinas do sis¬ 
tema eleitoral, além de haver su¬ 
bordinação do CEPESC a órgão co¬ 
mando por parte possivelmente in¬ 
teressada na eleição, contrariando 
princípios de governança. Apurou- 
se que código-fonte do CEPESC 
não seguiu os trâmites previstos 
na lacração de software. (Item 
3.10, p. 46) 
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1 

^QUISITOS 

AVALI¬ 

AÇÃO 

PRINCIPAIS REFERÊNCIAS 

1.16 

Governança do TSE e a atua¬ 
ção dos Juízes Eleitorais 

NC 

Constatou-se que os Juízes abdi¬ 
cam dos procedimentos de investi¬ 
gação e produção de provas que 
usualmente utilizam em suas Va¬ 
ras de origem nas esferas Cível ou 
Criminal, pois na esfera Eleitoral li¬ 
mitam-se a cumprir as instruções 
sobre auditoria emitidas generica¬ 
mente pelo TSE, perdendo eficácia 
no acatamento, apuração e com¬ 
provação de erros e fraudes. (Item 
3.11, p. 47) 

1.17 

Governança do TSE sobre tes¬ 
tes públicos de urnas 

NC 

Constatou-se ter o TSE encerrado 
ou postergado o teste previsto 
para 2014 justamente quando o 
teste público anterior descobriu fa¬ 
lha grave no sistema. Coincidente¬ 
mente, criou Grupo de Trabalho 
em Segurança voltado ao corpo 
técnico interno, procedimento ina¬ 
dequado frente às melhores práti¬ 
cas de governança. (Item 3.12, p. 
48) 

2 

GESTÃO DE ELEITORES 

2.1 

Cadastro nacional de eleitores 
e sistema de informações elei¬ 
torais 

1 

Gerido pelo TSE, com acesso por 
Autoridades Judiciárias e Ministério 
Público, seus dados são utilizados 
para inseminar urnas. Sistema, em 
tese, transparente. Porém, o TSE 
não comprovou a segurança do 
processo frente às denúncias de 
eleitores que tiveram problemas 
com sua identificação para votar. 
(Itens 4.4.5.4, 4.4.5.5, 4.3.4) 

2.2 

Combate a eleitores fantasmas 

NC 

Existência de eleitores que vota¬ 
ram e justificaram simultaneamen¬ 
te. Não foi permitido acesso a da¬ 
dos desses eleitores. (Itens 
4.4.5.4, 4.4.5.5, 4.3.4) 

2.3 

Confiabilidade e eficácia do ca¬ 
dastro biométrico 

1 

Alto índice de falsos negativos e 
falsos-positivos, (item 4.4.5.3) 

3 

GESTÃO DE CANDIDATURAS 
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1 

^QUISITOS 

AVALI¬ 

AÇÃO 

PRINCIPAIS REFERÊNCIAS 

3.1 

Controle de partidos e candida¬ 
tos. 

c 

Partidos, candidatos e situações 
geridos de forma transparente por 
TSE e TRE's. 

3.2 

Inseminar urnas com dados de 
seção, partidos e candidatos 

1 

TSE não demonstrou para a Audi¬ 
toria Especial funcionamento ade¬ 
quado do sistema eleitoral frente 
às muitas denúncias sobre vícios 
em teclado ao tentar digitar núme¬ 
ro de um candidato e fotos de de¬ 
terminado candidato que não apa¬ 
recem no momento da votação. 
TSE não permitiu utilizar progra¬ 
mas e dados reais para apurar as 
supostas falhas. (Item 4.4.2.5.2, p. 
92, item 4.4.5.3, p. 143) 

4 

URNA - HARDWARE E FIRMWARE 

4.1 

Prover hardware e 

firmware/bios - terminal do 
eleitor e microterminal do me- 
sário, impressora para boletim 
de urna, relatórios de carga e 
testes, slots para flash interna 
(com lacre) e externa, conecto¬ 
res, sensores internos de esta¬ 
do. Firmware BIOS e Extensão 
BIOS (funções de segurança), 
memórias não voláteis (EE- 
PROM, número de série) 

1 

TSE demonstrou que realiza os 
procedimentos previstos pela Lei 
8666/1993. Contudo, não compro¬ 
vou haver controles efetivos e 
transparentes dos processos de 
desenho e manufatura do hardwa¬ 
re da urna, cabendo considerar 
ainda os severos questionamentos 
relacionados ao firmware. 

4.2 

Transparência na aquisição e 
conferência no recebimento 
dos produtos e serviços contra¬ 
tados 

NC 

0 TSE não permitiu o exame de 
hardware e não incluiu parte do 
firmware e drives nos testes per¬ 
mitidos. 

5 

URNA - SOFTWARE 

4.3 

Atividade de pré-compilação 
pelo TSE com inserção no có¬ 
digo-fonte recebido de fornece¬ 
dores ou próprios mediante in¬ 
serção de rotinas e chaves crip¬ 
tográficas CEPESC, antes da 
compilação a ser realizada em 
audiência pública. 

1 

TSE não demonstrou ou possibili¬ 
tou 0 exame pela Auditoria Especi¬ 
al. (item 4) 
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4.4 


4.5 


4.6 


4.7 


4.8 


Apresentar códigos-fonte aos 
partidos, esclarecer dúvidas e 
compilar. Gravar em mídia, la¬ 
crar com assinaturas e guardar 
em cofre do TSE. Guardar log 
de compilação. 


Providenciar dados sobre muni¬ 
cípio, zona e seção eleitoral, ta¬ 
bela de eleitores, fotos de can¬ 
didatos. 


Empacotar software e dados e 
transmitir o conjunto. Gerar pa¬ 
cotes do sistema operacional, 
programas aplicativos, progra¬ 
mas utilitários e dados para vo¬ 
tação. Gerado e cifrado em am¬ 
biente SIS, transmitido com ca¬ 
dastro de eleitores, desempa¬ 
cotado para preparação das 
memórias flash de carga para 
inseminação das urnas median¬ 
te Gerador de Mídia 


Prover Gerador de Mídia: Orga¬ 
nizar e gravar em flash de car¬ 
ga os programas e dados (par¬ 
tidos, candidatos, eleitores, 
controles). Fazer inseminação e 
coleta da tabela de correspon¬ 
dência que associa EEPROM de 
número de série da urna com 
seção eleitoral a transferir para 
totalizador 


Prover Subsistema de Instala¬ 
ção e Segurança (SIS): Nos 
computadores TSE, TREs e Po¬ 
los de Inseminação de Urnas. 
Controlar programas, permis¬ 
sões e perfis de usuários e ge¬ 
rar logs de auditoria. Controlar 
processo de inseminação 


AVALI¬ 

AÇÃO 


NC 


PRINCIPAIS REFERENCIAS 


Constatou-se que a prática é insu¬ 
ficiente para assegurar ausência 
de erros ou fraudes. A Auditoria 
Especial apurou que parte do có¬ 
digo-fonte crítico do CEPESC 
não integra a mídia preservada no 
cofre do TSE. (item 4) 


TSE não demonstrou ou autorizou 
averiguar posteriormente a quali¬ 
dade e integridade do procedimen¬ 
to e cadastros, (item 4) 


TSE não demonstrou ou autorizou 
averiguar posteriormente a quali¬ 
dade e integridade do procedimen¬ 
to e cadastros, (item 4) 


TSE não demonstrou ou autorizou 
averiguar posteriormente a quali¬ 
dade e integridade do procedimen¬ 
to e cadastros, (item 4) 


TSE não demonstrou ou autorizou 
averiguar posteriormente a quali¬ 
dade e integridade do procedimen¬ 
to e cadastros (item 4). 
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4.9 


4.10 


REQUISITOS 


Prover Transportador de Dados: 
Leitura do flash (arquivos e BU) 
e transmissão para o centro de 
totalização, em computador da 
Justiça 

Prover Totalizador de Dados: 
Recepção nos TRE's dos dados 
enviados pelo transportador, 
deciframento dos BUs extração 
dos dados e totalização, acu¬ 
mulação de votos, atualização 
do banco de dados, divulgação 
do resultado. Totalização nas 
zonas, TREs ou TSE conforme 
eleição. 


AVALI¬ 

AÇÃO 


PRINCIPAIS REFERENCIAS 


TSE não demonstrou ou autorizou 
averiguar posteriormente a quali¬ 
dade e integridade do procedimen¬ 
to e cadastros (item 4). 


TSE não demonstrou ou autorizou 
averiguar posteriormente a quali¬ 
dade e integridade do procedimen¬ 
to e cadastros (item 4). 


URNA - PREPARAÇÃO E OPERAÇÃO 


5.1 


5.2 


5.2 


6.1 


Prover serviços técnicos para 
manutenção das urnas. 


TSE não demonstrou terem sido 
seguidos procedimentos conside¬ 
rados entre as melhores práticas 
(item 4). 


Preparação: Prover serviços 
técnicos para preparação e ins¬ 
talação das urnas. Preparar 
para votação. Inserir flash de 
carga em slot externo e ligar 
urna, programa transfere siste¬ 
ma operacional e controles. In¬ 
serir flash de votação, progra¬ 
ma verifica integridade, prepa¬ 
ração final para votação. 


TSE não demonstrou fundamenta¬ 
ção para contratações, por exem¬ 
plo da empresa Smartmatic, sendo 
que tais empresas têm acesso à 
gravação dos programas das urnas 
eletrônicas. A Auditoria Especial 
não teve acesso profundo (perícia) 
às mídias gravadas por essas em¬ 
presas (item 4.4.5.2). 


Preparação: Controle de arma¬ 
zenamento, distribuição e 
acompanhamento das urnas 


TSE não demonstrou terem sido 
seguidos procedimentos conside¬ 
rados entre as melhores práticas 
(item 4). 


AVALIAÇÃO DO SISTEMA ELEITORAL 


Dar publicidade aos procedi¬ 
mentos oficiais e aos resulta¬ 
dos da eleição 



TSE demonstra publicidade e 
transparência de normas e regis¬ 
tros oficiais (item 4.4.4.1). 
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1 


QUISITOS 

AVALI¬ 

AÇÃO 

PRINCIPAIS REFERÊNCIAS 

6.2 

Comprovar transparências na 
execução dos contratos confor¬ 
me Alt. 39.da Lei 8666, deter¬ 
minações CNJ e princípios da 
Administração Pública 

1 

A Auditoria Especial solicitou, mas 
não teve acesso aos registros ad¬ 
ministrativos sobre os serviços 
prestados ao TSE. 

A Auditoria Especial identificou si¬ 
tuações onde 0 código-fonte rece¬ 
bido de fornecedores não foi devi¬ 
damente conferido (item 4). 

6.3 

Preservar sistemas e dados 
eleitorais para auditoria 

NC 

Auditoria comprovou que não fo¬ 
ram preservados códigos-fonte do 
CEPESC/ABIN, da BIOS das urnas e 
do firmware do componente de se¬ 
gurança MSD (itens 4.3.4, 

4.4.2.5.1). 

6.4 

Comprovar Inexistência de 
software, funções ou dados 
ocultos na urna 

1 

TSE não conseguiu demonstrar 
inexistência de software secreto 
ou indevido na urna. 

6.5 

Comprovar inexistência de 
software, funções ou dados 
ocultos nos módulos de CE- 
PESC/ABIN 

1 

TSE não conseguiu demonstrar 
inexistência de funções ou códigos 
ocultos nos programas executáveis 
utilizados ou integrados ao longo 
de todo 0 sistema eleitoral (item 
4). 

6.6 

Comprovar integridade e au¬ 
sência de inserção de funções, 
software ou dados ocultos via 
rotinas de compilação 

NC 

TSE não preservou programas e 
procedimentos de compilação 
(itens 4.4.2.6, 4.3.4). 

6.7 

Comprovar inexistência de pro¬ 
cedimentos indevidos nos pro¬ 
gramas e dados das urnas ele¬ 
trônicas 

1 

TSE não conseguiu comprovar ine¬ 
xistência e também não forneceu 
os registros pertinentes à Auditoria 
Especial (item 4.4.5.1). 

6.8 

Comprovar integridade e não 
violação de lacres físicos das 
urnas 

NC 

A Auditoria Especial constatou ha¬ 
ver alto índice de urnas com lacres 
violados (item 4.4.2.10). 

6.9 

Comprovar qualidade e integri¬ 
dade do código-fonte desenvol¬ 
vido porTSE ou por terceiros 

NC 

A Auditoria Especial constatou ha¬ 
ver baixa qualidade no código-fon¬ 
te, claramente desorganizado e su¬ 
jeito a falhas (item 4.4.2.4). 
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1 


QUISITOS 

AVALI¬ 

AÇÃO 

PRINCIPAIS REFERÊNCIAS 

6.10 

Comprovar correção, seguran¬ 
ça e ausência de vulnerabilida¬ 
des no código-fonte 

NC 

0 TSE não conseguiu comprovar 
para a Auditoria Especial a inexis¬ 
tência de erros ou fraudes no có¬ 
digo-fonte; também não demons¬ 
trou adotar métodos e mecanis¬ 
mos para identificar erros e frau¬ 
des. Além disso, o TSE não forne¬ 
ceu todos os códigos para análise 
(BIOS, firmware), nem preservou 
os códigos da CEPESC/ABIN. TSE 
impôs à Auditoria Especial méto¬ 
dos, ferramentas, local e tempo in¬ 
compatíveis com 0 volume de có¬ 
digo a ser verificado. Mesmo com 
essas limitações, a Auditoria Espe¬ 
cial encontrou vulnerabilidades di¬ 
versas nos pequenos trechos que 
foi possível avaliar (4.4.2.5). 

6.11 

Comprovar gerenciamento de 
programas de terceiros 

NC 

Não há controle sobre o compila¬ 
dor utilizado (item 4.4.2.6). 

6.12 

Comprovar que compilação 
posterior do código-fonte pre¬ 
servado gera executável ade¬ 
rente ao utilizado na votação. 

1 

TSE não conseguiu comprovar 
(itens 4.4.2.6, 4.4.2.7). 

6.13 

Comprovar correta geração de 
programas para as urnas ele¬ 
trônicas 

1 

TSE não conseguiu comprovar e 
não forneceu à Auditoria Especial 
acesso às mídias das urnas eletrô¬ 
nicas (itens 4.4.5.1, 4.3.4) 

6.14 

Comprovar integridade dos 
programas gravados nas urnas 
eletrônicas 

NC 

TSE não conseguiu comprovar e 
foram identificadas fragilidades na 
certificação do software, ausência 
de rastreabilidade do programa 
VPP, ausência de verificação de 
memória de modo independente, 
alto índice de lacres violados 
(4.4.2.8, 4.4.2.3, 4.3.4). 

6.15 

Comprovar integridade da tota- 
lização dos Boletins de Urna 

C 

Não foram localizadas evidências 
de graves problemas nesse ponto 
(item 4.4.4.2). 

6.16 

Comprovar sigilo do Voto 

C 

Não foram localizadas evidências 
de graves problemas nesse ponto. 
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6.17 


6.18 


6.19 


6.20 



Comprovar origem e integrida¬ 
de do código-fonte e rotinas 
executáveis do CEPESC utiliza¬ 
das na eleição 


Comprovar que a votação para¬ 
lela atinge o objetivo de de¬ 
monstrar segurança e integri¬ 
dade do sistema eleitoral 


Comprovar efetividade da Audi¬ 
toria e Controle Interno do TSE 


Comprovar independência das 
funcionalidades do sistema 
eleitoral com relação aos forne¬ 
cedores de componentes do 
sistema 


AVALI¬ 

AÇÃO 


NC 


NC 


NC 


PRINCIPAIS REFERENCIAS 


Não há rastreabilidade do código 
da CEPESC utilizado, um requisito 
imprescindível (item 4.3.4). 

Demonstrado que, ao monitorar o 
ecossistema (isto é, diversos e dis¬ 
tintos tipos de dados que o equipa¬ 
mento recebe durante o ciclo de 
vida das eleições), a urna pode 
identificar o estado de votação pa¬ 
ralela e ocultar funções ou códigos 
fraudulentos. Portanto, a votação 
paralela não atinge seu objetivo 
principal (item 4.4.2.11). 

O TSE não demonstrou que sua 
Área de Auditoria e Controle Inter¬ 
no tenha efetiva atuação na análi¬ 
se e averiguação das muitas de¬ 
núncias e que empreenda in¬ 
vestigações independentes quan¬ 
do há possibilidade de fraude me¬ 
diante alta tecnologia (item 
4.4.2.11.3). 

TSE não apresentou funções efica¬ 
zes que assegurem de forma 
transparente a independência do 
sistema eleitoral com relação às 
rotinas e processos indevidos 
eventualmente embutidos nos 
componentes entregues por forne¬ 
cedores. Este requisito torna-se 
grave diante da ausência de outros 
controles, como voto impresso, 
obscurantismo e ocultação do có¬ 
digo-fonte e compilação dos pro¬ 
gramas, dependência de assinatu¬ 
ras digitais e outras questões simi¬ 
lares (item 4). 


Esses resultados estão fundamentados no corpo do relatório. 
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3.1. Avaliação sobre Governança 

Há diversos anos o TSE faz investimentos relevantes no sentido de aprimorar a 
governança do sistema eleitoral brasileiro, de tal maneira que esse esforço deveria ter 
trazido, entre outros benefícios obrigatórios, a criação de mecanismos eficazes para 
apurar e responder com transparência as denúncias e insatisfações da população bra¬ 
sileira, afastando omissões em trilhas de auditoria ou eventuais enfoques incorretos 
que impeçam ou dificultem apurações exemplares. 

As avaliações realizadas ao longo da presente Auditoria Especial, no entanto, in¬ 
dicam que 0 TSE não atingiu os objetivos que estabeleceu a respeito da sua Governan¬ 
ça Corporativa para o período de 2011 a 2014. 

Como consequência dessas deficiências em governança, o próprio TSE, os juízes, 
a Auditoria Interna e a Ouvidora do TSE, o Ministério Público, a OAB e as empresas ex¬ 
ternas de auditoria contratadas pelo TSE para a votação paralela deixaram de respon¬ 
der de forma transparente às denúncias em questão. Além disso, obstáculos existen¬ 
tes, cujas remoções eram necessárias para a conclusão da presente Auditoria Especi¬ 
al, não foram superados. 

Ao impedir parte relevante dos procedimentos de auditoria e ao deixar de res¬ 
ponder os questionamentos apresentados, a infraestrutura do TSE demonstrou inadim- 
plemento quanto ao seu próprio Planejamento Estratégico, portanto à sua missão, vi¬ 
são e valores, além de violar as regras de governança em prejuízo da transparência e 
da credibilidade do sistema eleitoral brasileiro, conforme exposto nos próximos itens. 

3.2. Governança do Sistema Eleitoral 

O TSE produziu em 2010 um documento intitulado "Planejamento Estratégico do 
TSE 2011/2014" que estabelece Missão, Visão e Valores transcritos a seguir'^, onde gri¬ 
famos os atributos de interesse para a presente Auditoria Especial: 

Missão: Garantir a iegitimidade do processo eieitorai e o iivre 
exercício do direito de votar e ser votado, a fim de fortaiecer 
a democracia. 

Visão em 2014: Consoiidar a credibilidade da justiça eieito¬ 
rai, especiaimente quanto à efetividade, à transparência e 
à segurança . 

4 Planejamento Estratégico do TSE disponível em http://www.tse.jus.br/arqmvos/tse-planejamento-estrategico-do- 
tse-2012-2014/view 
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Valores: 

COERÊNCIA: alinhamento entre discurso e prática: 

COMPROMETIMENTO: atuação com dedicação, empenho e 

envolvimento em suas atividades; 

ÉTICA: atuação sob os princípios da honestidade, lealdade e 
dignidade; 

FLEXIBILIDADE: atitude de abertura permanente para com¬ 
preender a necessidade de mudanças, adotando medidas 
para promovê-las; 

INOVAÇÃO: estímulo à criatividade e à busca de soluções di¬ 
ferenciadas; 

INTEGRAÇÃO: compartilhamento de experiências, conheci¬ 
mentos e ações que conduzam à formação de equipes orien¬ 
tadas para resultados comuns; 

RECONHECIMENTO: adoção de práticas de estímulo e valori¬ 
zação das contribuições Individuais e de grupos que condu¬ 
zam ao cumprimento da missão do TSE. 

0 Planejamento Estratégico do TSE é claro ao estabelecer Missão, Visão e Valores 
e caracterizar a subordinação do Tribunal ao eleitor, fim último do sistema eleitoral. 
Logo, o Planejamento Estratégico configura a obrigação do Tribunal quanto à credibili¬ 
dade, transparência, segurança e alinhamento entre discurso e prática naquilo que in¬ 
teressa ao eleitor, configurando a obrigação não só de apurar quaisquer denúncias, 
mas também de divulgar para o eleitor com a máxima transparência os exames e os 
resultados obtidos, mesmo se de intricada natureza tecnológica. 

Ocorre que a Auditoria Especial não conseguiu comprovar respostas transparen¬ 
tes, espontâneas, técnicas e profundas do TSE frente às denúncias propagadas pelos 
eleitores na Internet. Entende-se que esses eleitores são os demandantes efetivos e 
reais do Planejamento Estratégico do TSE para o período 2011/2014, logo, seus objeti¬ 
vos deveriam ter sido alcançados e estar implantados e disponíveis em tempo para a 
eleição de 2014. 

Em vez de encontrar as portas abertas ao apoiar o TSE na consecução do seu 
Planejamento Estratégico, no que se refere à apuração transparente para o eleitor, a 
Auditoria Especial foi fortemente limitada em suas ações e impelida de fato a se afas¬ 
tar da sua missão de conduzir verificação técnica profunda sobre credibilidade, trans¬ 
parência, segurança e alinhamento entre discurso e prática no sistema eletrônico elei¬ 
toral. 
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3.3. Conformidade Frente às Regras Gerais de Governança 

A Resolução 99/2009^ estabelece que cabe ao Conselho Nacional de Justiça (CNJ) 
prover soluções tecnológicas efetivas para o Poder Judiciário e agir para que ele seja 
reconhecido por transparência, imparcialidade, comunicação com públicos externos, 
documentação adequada dos sistemas e aderente às melhores práticas de segurança 
da informação. 

A análise dessa resolução do CNJ é importante para que se compreenda a exten¬ 
são do Plano Estratégico e os compromissos de Governança do TSE e seus reflexos na 
eficácia e transparência da apuração de denúncias. 

Há cerca de 15 anos têm sido feitos registros que atribuem ao TSE problemas tí¬ 
picos de Governança nos quesitos, falta de transparência, falta de empenho e parciali¬ 
dade na apuração de denúncias dos eleitores que são tecnicamente materializadas 
por meio de artigos científicos ou técnicos, auditorias independentes ou notícias na 
imprensa, como nos exemplos a seguir. 

• Em 2001, artigo “Voto Eletrônico - Processo Eleitoral Brasileiro”®, de Evandro 
Luiz de Oliveira, afirma que: (i) não é dado o direito aos representantes partidá¬ 
rios de verificarem todos os programas que fazem parte do processo eleitoral; 
(ii) o prazo dado legalmente para verificação é exíguo; (iii) não existe nenhum 
mecanismo que garanta que o que está sendo verificado é o mesmo que será 
colocado nas urnas algumas semanas depois; e (iv) o processo eleitoral é um 

sistema baseado em premissas obscurantistas; 

• Em 2002, relatório COPPETEC^ relata sobre o sistema eleitoral: (i) as especifi¬ 
cações são inadequadas, incompletas e inconsistentes; (ii) a documentação dos 
testes é incompleta e não foi possível examinar sua adequação e cobertura; (iii) 
não se pode fazer afirmativas sobre a confiabilidade do produto; (iv) nos testes, 
o produto não estava pronto e nada se pode garantir sobre ele; e (v) o TSE não 
permitiu a utilização de ferramentas de extração de métricas nos testes; 


5 CNJ - Resolução número 99/2009 - Disponível em 
http://www.cnj.jus.br/images/stories/docs_cnj/resolucao/rescnj_99.pdf 

6 Artigo “Voto Eletrônico - Processo Eleitoral Brasileiro”, publicado em revista IP, da Prodabel, Belo Horizonte, 
2001, ISBN 1516-697X, 

7 “Relatório de Avaliação do Software do TSE realizada pela Fundação COPPETEC”, agosto de 2002, Fundação 
COPPE, UFRJ 
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• Em 2002, relatório da Unicamp® informa que: (i) o TSE não formaliza o ciclo de 
desenvolvimento do software da urna e de outros programas em procedimentos 
e marcos; (ii) deve ser aprimorado o exame dos programas-fonte pelos partidos; 

(iii) a configuração do ambiente de compilação deve ser completamente docu¬ 
mentada; (iv) deve ser possível a reprodução do mesmo ambiente de compila¬ 
ção; (v) devem ser disponibilizados recursos para que a compilação dos progra¬ 
mas e cálculos possam ser feitos em paralelo por representantes dos partidos, 
em ambientes gerados por eles mesmos; 

• Em 2007/2008, a Subcomissão Especial de Segurança do Voto Eletrônico da 
Câmara dos Deputados® recomenda a criação de auditoria independente do 
software das urnas eletrônicas; 

• Em 2009, o relatório CMind“ afirma que: (i) não se pode perder a vigilância 
quanto ao aspecto da confiabilidade do processo; (ii) pode-se inferir que a falta 
de interesse na fiscalização significa a aceitação tácita dos procedimentos exe¬ 
cutados nas eleições; (iii) não é escusa aceitável a alta complexidade técnica 
dos procedimentos envolvidos na votação eletrônica para que os partidos dei¬ 
xem de fiscalizar e aferir a confiabilidade do processo eleitoral; 

• Em 2010, o relatório Cmind^^ afirma: (i) há comprometimento do princípio da pu¬ 
blicidade e soberania do eleitor em conhecer o destino do voto; (ii) é impossível 
conferir e auditar o resultado da apuração eletrônica dos votos; (iii) é necessário 
separar tarefas de normatizar, administrar e auditar o processo eleitoral; (ii) de¬ 
vem ser totalmente separadas a estrutura administrativa eleitoral, as funções de 
projeto, de operação e de auditoria interna; (iii) é necessário possibilitar audito¬ 
ria externa totalmente independente das pessoas envolvidas na administração; 

(iv) não podem ser estabelecidas pelos próprios administradores e operadores 
as regras de fiscalização e auditoria; 

• Em 2013, artigo de Diego Aranha^^ afirma: (i) um período de 3 dias é absoluta¬ 
mente insuficiente para se analisar uma porção significativa do código-fonte da 

8 Relatório “Avaliação do Sistema Informatizado de Eleições”, Unicamp, maio 2002 

9 Câmara dos Deputados, Subcomissão Especial de Segurança do Voto Eletrônico. Dois relatórios aprovados na 
CCJC - CCJC 2007 e CCJC 2008 

10 “Relatório sobre o Sistema Brasileiro de Votação Eletrônica”, março 2009, Comitê Multidisciplinar Independente 

11 “Relatório sobre o Sistema Brasileiro de Votação Eletrônica”, Brasília, 2010, Comitê Mnltidisciplinar Inde-penden- 
te - CMind, Sérgio Sérvulo da Cunha et al.. 

12 “Vulnerabilidades no software da urna eletrônica brasileira”, Diego F. Aranha et al. Março 2013 
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urna eletrônica, que em seu total possui milhões de linhas de código; (ii) avalia¬ 
ção completa e cuidadosa do software da urna requer enorme esforço e muito 
tempo de dedicação; (iii) sem a possibilidade de se efetuar testes extensos e 
sem qualquer tipo de restrição, segundo metodologia científica, não é possível 
afirmar que o formato atual do evento [teste] colabora significativamente para o 
incremento da segurança da urna eletrônica. 

Verifica-se como alvo comum a todas essas críticas a imposição de métodos que 
de uma forma ou de outra cheguem sempre à conclusão de que o sistema eleitoral é 
seguro. Em outras palavras, são banidos quaisquer métodos que possam identificar e 
comprovar falhas da infraestrutura tecnológica do TSE. A justificativa para cercear os 
trabalhos de investigação também se mantém constante, sempre focada na pretensa 
proteção do próprio sistema eleitoral contra a cópia ou divulgação das suas informa¬ 
ções técnicas que poderiam ser utilizadas para perpetrar fraudes contra o sistema. 

Ocorre que, como demonstrado neste relatório, essa postura mundialmente não 
é mais considerada consistente, ao contrário, indica, como regra, a vontade de pesso¬ 
as ou órgãos de ocultar suas falhas em vez de efetivamente proteger o sistema. A se¬ 
gurança dos sistemas há muito tempo não está no obscurantismo^^ que apenas oculta 
erros e fraudes, mas sim na adoção de melhores práticas e técnicas. 

Essa postura de ofuscação e limitação imposta judicialmente ou administrativa¬ 
mente pelo Tribunal às auditorias se baseia em pareceres técnicos, requerimentos e 
pedidos que partem das próprias áreas técnicas que precisam ser alvo de auditoria 
para apurar as denúncias, tendo como resultado efetivo criar um manto de "inaudita- 
bilidade" incompatível com as determinações do Poder Judiciário e com a Administra¬ 
ção Pública sobre transparência dos atos e apuração das denúncias. 

Como já foi visto, o Artigo 11 da Resolução CNJ 90/2009 determina que o Planeja¬ 
mento Estratégico de Tecnologia da Informação e Comunicações (PETI) de cada Tribu¬ 
nal deve se manter alinhado com as diretrizes estratégicas institucionais e nacionais e 
determina, ainda, que cada Tribunal deve elaborar um plano diretor de Tecnologia da 
Informação e Comunicação (PDTI). 

Verifica-se que o TSE buscou atender essa Resolução do CNJ quanto ao seu as¬ 
pecto formal, primeiramente elaborando uma versão denominada "Planejamento Es- 


13 O Princípio de Kerckhoffs, que discute a falácia da “segurança do obscurantismo”, foi originalmente enunciado em 
1883. : "Kerckhoffs, A. La cryptographie militaire. Journal des Sciences militaires, IX:5-83 (Jan), 161-191 (Feb), 
1883" 
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tratégico de TI para 2010/2014"^'^ e depois a aperfeiçoando. Esse documento registra 
que em 2010 o TSE detectou na sua infraestrutura as seguintes "fraquezas" que são 
de interesse para esta Auditoria Especial: 

• Deficiência na gestão de contratos de mão de obra tercei¬ 
rizada; 

• Ausência de gestão de demandas, tais como: níveis de 

serviço, capacidade de atendimento e priorização; 

• Ausência de gestão eficaz do conhecimento; 

• Conhecimento e planejamento deficientes em relação ao 

processo de aquisição; 

• Ausência de critérios vinculados a fornecimento de infor¬ 
mações; 

• Transitoriedade da alta gestão do TSE, ocasionando uma 
possível quebra de continuidade nos trabalhos da Secreta¬ 
ria; 

• Mudanças intempestivas na legislação eleitoral; 

• Monopólios e cartelização de fornecedores; 

• Baixa integração entre as unidades de TI da Justiça Eleito¬ 
ral; 

• Ausência de critérios objetivos acerca do compartilhamen¬ 
to das boas práticas da Justiça Eleitoral. 

Em seguida o TSE criou seu Planejamento Estratégico para o período 2011 a 
2014 de forma tal que essas e outras "fraquezas" estivessem resolvidas até as elei¬ 
ções de 2014. 

Contudo, não se confirmou o alcance dessas metas, dado que a Auditoria Especi¬ 
al encontrou na eleição de 2014 problemas muito similares ou decorrentes das chama¬ 
das "fraquezas" de 2010, como demonstrado no capítulo 3.8 deste documento (p. 37), 
em síntese: 

a) Utilização de interpretação excessivamente restritiva da legislação e das nor¬ 
mas com o objetivo de limitar ou mesmo anular a eficácia das auditorias ex¬ 
ternas e perícias técnicas; 

b) Aparente inoperãncia da auditoria interna, do Poder Judiciário, do Ministério 
Público e da OAB no que se refere ãs investigações e apuração de denúncias 
envolvendo a alta tecnologia utilizada no sistema eleitoral; 


14 Planejamento Estratégico de TI 201/2014 do TSE- Disponível em https://groups.google.com/forum/#!topic/tse- 
ti2012/PKDtY10xYls 
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c) Obscurantismo via não fornecimento à Auditoria de informações e documen¬ 
tos técnicos efetivos e originais de projeto, sendo fornecidos apenas material 
ilustrativo e construído propositalmente para demonstração em auditorias ou 
divulgação pública; 

d) Proibição de utilizar métodos e técnicas investigativas efetivamente livres e 
apropriadas aos exames, limitando tempo, local, métodos e objetos ãqueles 
previamente autorizados, configurando o controle da auditoria pelo próprio au- 
ditado; 

e) Não fornecimento de arquivos digitais do sistema e do seu ambiente real de 
especificação, projeto, desenvolvimento, manutenção, teste, homologação e 

operação/produção, frustrando a efetiva e real averiguação das denúncias; 

f) Não fornecimento de cópias de programas-fonte, mesmo sendo livres, e de¬ 
mais arquivos para exame efetivo no laboratório dos auditores, sendo autori¬ 
zadas apenas análises parciais notoriamente insuficientes e inadequadas 

para auditoria verdadeira do sistema; 

g) Proibição do exame de diversos componentes do sistema eleitoral; 

h) Respostas vagas para os questionamentos apresentados. 

Esse bloqueio ao trabalho da Auditoria Especial ocorreu de modo uniforme tanto 
junto aos diversos órgãos técnicos que integram o TSE em Brasília, quanto nos TRE's e 
cartórios visitados pelos auditores, demonstrando intensa coesão administrativa entre 
esses diversos órgãos e unidades da corporação no sentido de se cumprir com forte 
alinhamento as diretrizes centrais da organização. Todavia, essa linha de ação foi utili¬ 
zada em desfavor da transparência e da governança voltada ao eleitor, fim último da 
existência da Justiça Eleitoral e da Administração Pública. 

Paradoxalmente, o TSE tem instituído diversos projetos relacionados à implemen¬ 
tação da Governança Corporativa visando à transparência junto ao eleitor. A Portaria 
n^ 606/2011 do TSE criou uma comissão de estudos sobre governança e em 2012 ins¬ 
tituiu 0 Sistema Gerencial de Governança Corporativa (SGGC)^^. 

Ainda em 2012, o TSE avaliou sua própria governança e publicou o resultado no 
documento denominado "Avaliação do Sistema Gerencial de Governança Corporativa 
do TSE - 04/2012", reproduzido a seguir^® e mais detalhadamente nas seções seguin¬ 
tes para melhor visualização: 


15 Disponível em http://www.justicaeleitoral.jus.br/arquivos/governanca-corporativa-vl 

16 Disponível em http://www.justicaeleitoral.jus.br/arquivos/tse-avaliacao-sggc-04-12 
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Esse documento registra que em 2012 o TSE tinha diversos problemas de gover¬ 
nança relacionados ao não atendimento dos preceitos que devem cercar a auditoria e 
transparência do sistema eleitoral. Ocorre que em 2015 a Auditoria Especial constatou 
a respeito da eleição majoritária de 2014 que os mesmos tipos de problemas continu¬ 
am prejudicando a realização de auditorias, a apuração eficaz de denúncias técnicas e 
a transparência na comunicação com o eleitor denunciante. 

Portanto, os problemas apontados neste relatório pela Auditoria Especial são co¬ 
nhecidos há anos pelo TSE, constavam em seus registros como não resolvidos pela Ad¬ 
ministração, a despeito de haver críticas formalizadas, e continuam não resolvidos. 


3.4.Conformidade com Leis, Resoluções e Normas 

Os trabalhos da Auditoria Especial foram dificultados ou impedidos por interpre¬ 
tações das normas que se mostraram, sob o aspecto técnico, distantes dos princípios 
sobre o dever de transparência da Administração Pública. Esse entendimento é ade¬ 
rente à autoavaliação sobre governança no TSE na dimensão intitulada 
"Alinhamentos". 

A categoria denominada pelo TSE como "C.l Transparência" se refere explicita¬ 
mente à publicação de dados oficiais na Internet e apresenta avaliações máximas, 
com nota 5, para "Página de transparência" e "Página de estatísticas eleitorais". Como 
se sabe, essas páginas são essenciais para a transparência do processo eleitoral, mas 
não são elas próprias objeto das denúncias. 

As denúncias referem-se, principalmente, a supostas manipulações no próprio 
sistema eletrônico eleitoral. Porém, a Auditoria Especial foi impedida de acessar livre¬ 
mente e realizar os exames periciais adequados para avaliar esse sistema, configuran¬ 
do, portanto, descumprimento dos órgãos técnicos do TSE quanto ao requisito de 
transparência. 

Esta realidade está em consonância com a própria autoavaliação do TSE que, em 
"C.4 Conformidade normativa" e em seu único elemento "C.4.1 Conformidade com 
leis, resoluções do CNJ e outras normas", se atribui avaliação negativa, com a nota mí¬ 
nima 1. 
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3.5. Qualidade da Informação Pública sobre o Sistema Eleitorai 

Os trabalhos realizados pela presente Auditoria Especial refletem os anseios dos 
eleitores que se manifestaram amplamente a respeito de denúncias sobre o sistema 
eleitoral. 

Tratando-se de interesse público criado, mantido e operado pelo TSE, cumpre re¬ 
cordar que a Lei de Acesso à Informação Pública (Lei n.^ 12.527/2011) determina que: 

É dever dos órgãos e entidades públicas promover, indepen¬ 
dentemente de requerimentos, a divulgação em local de fá¬ 
cil acesso, no âmbito de suas competências, de informações 
de interesse coletivo ou geral por eles produzidas ou custo¬ 
diadas. 

Entende esta Auditoria Especial que essa norma impõe a obrigação de divulgar, 
independentemente de requerimentos, os exames técnicos e demais providências re¬ 
lacionadas à apuração das denúncias e a fundamentação técnica sobre sua confirma¬ 
ção ou desmentido. 

Entretanto, ao contrário do que determina essa norma, houve grande dificuldade 
para se obter do agente público as permissões para examinar informações efetiva¬ 
mente esclarecedoras. As informações apresentadas aos auditores, muitas vezes, fo¬ 
ram vagas e superficiais, insuficientes para embasar apurações efetivas e esclarecer 
de fato os eleitores. 

Esse entendimento da Auditoria Especial é consistente com a autoavaliação do 
TSE realizada em 2012, que reconhece como muito baixa (nota 2) - categoria "S.l 
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Responsabilidade social/S.1.1 Tribunal Aberto à Comunidade" - a transparência do Tri¬ 
bunal: 


S.l Responsabilidade social 

S.1.1. Tribunal Aberto à Comunidade 
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S.2 Responsabilidade ambiental 

S.2.1 Combate ao Desperdício e Apoio à Sustentabilidade 

3 

S.3. Ouvidoria 

S.3.1 Central do Eleitor 

5 


3.6.Gestão de Riscos na Estrutura do TSE 

Na dimensão intitulada "Estruturas", o TSE apresenta indicadores de grande rele¬ 
vância para a presente Auditoria Especial, confirmando as evidências apontadas nos 
demais capítulos deste documento. 

Primeiramente, cabe notar a avaliação máxima (nota 5) atribuída ao Comitê Exe¬ 
cutivo do TSE, instância deliberativa interdisciplinar responsável por sanar questões 
críticas que possam impactar o sucesso de projetos e programas, estabelecendo crité¬ 
rios de priorização e definindo alternativas frente a riscos e problemas em projetos^^ 
Confrontando-se a elevada avaliação em governança obtida pelo COMEX com a ausên¬ 
cia de respostas efetivas para os problemas apontados neste e nos anteriores relatóri¬ 
os de auditora, se verifica nas normas que cabe a esse organismo responder questões 
afeitas ao Escritório Corporativo de Projetos (ECP), ao Escritório de Processos Organi¬ 
zacionais (EPO) e ao Escritório de Gestão da Qualidade (EGQ), sugerindo haver foco 
apenas nas questões eminentemente internas e não em respostas às denúncias exter¬ 
nas envolvendo os próprios sistemas e procedimentos internos. 

Essas questões contraditórias surgem dentro da mesma categoria "E.l Comitês", 
pois 0 Comitê Gestor de Tecnologia da Informação, diretamente relacionado à presente 
Auditoria Especial, apresentou avaliação de governança bem abaixo (nota 3). 

As demais avaliações apresentam quadros bem mais graves, exatamente nos as¬ 
pectos que demandam decisões e ações dos Comitê Executivo e Comitê Gestor de 
Tecnologia da Informação. 

O TSE obteve avaliação extremamente baixa (nota 1) no quesito "Vinculação do 
Controle Interno e Auditoria à Presidência", fator que poderia ser entendido, em tese. 


17 Comitê Executivo COMEX - vide http://www.tse.jus.br/institucional/planejamento-e-gestao/governanca-corporati- 
va/elementos/estrutura 
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como benéfico se ele indicar independência da auditoria interna em relação à própria 
estrutura administrativa (Presidência); contudo, as notas ruins nos demais indicadores 
de governança e a falta de solução para os problemas identificados nesta Auditoria Es¬ 
pecial e nas auditorias externas anteriores não permitem entendimento distinto, rema¬ 
nescendo que a nota 1 atribuída para Controle Interno e Auditoria de fato representa 
deficiência de governança nessa função. 

Além da nota mediana (nota 3) obtida pelo Comitê de TI, responsável por monito¬ 
rar e acompanhar os projetos de tecnologia da informação, considera-se marcante a 
avaliação extremamente baixa (nota 1) para o Núcleo de Gestão de Riscos, isto é, a 
avaliação de governança doTSE confirma a existência de deficiências exatamente nos 
pontos críticos salientados na presente Auditoria Especial, pontos que comprometem a 
credibilidade e não permitem atestar a integridade da Urna Eletrônica e dos sistemas 
de votação, apuração e totalização. 


E.l Comitês 

E.1.1 Comitê executivo 

5 

E.1.2 Comitê Gestor de Tecnologia da Informação 

3 

E.2 Escritório de Projetos 

E.2.1 Metodologia de Gerenciamento de Projetos 

5 

E.3 Auditoria 

E.3.1 Vinculaçâo do Controle Interno e Auditoria à Presidência 

1 

E.3.2 Fiscalização de contratos 

4 

E.3.3 Núcleo de Gestão de Risco 

1 

E.4 Segurança da Informação 

E.4.1 Comissão de Segurança da Informação no Tribunal 

2 


Figura 1 - Avaliação de governança - Estruturas - fonte TSE 


Não se pode deixar de constatar que as baixas notas sobre governança aponta¬ 
das pelo próprio TSE, inclusive sobre riscos, deficiências em segurança da informação 
e insuficiência de controles internos (Figura 1, p. 35), e as frequentes críticas em rela¬ 
tórios de auditoria de terceiros, apontam para a necessidade de averiguação e provi¬ 
dências específicas dos órgãos competentes do Tribunal^®. 

3.7.A Governança de TI no Sistema Eleitoral 

Especificamente quanto à tecnologia da informação, o Conselho Nacional de Jus¬ 
tiça (CNJ) estabeleceu na Resolução 90/2009^® os requisitos de nivelamento de tecno¬ 
logia da informação no âmbito de todo o Poder Judiciário e, entre outras providências, 

18 Vide http://www.justicaeleitoral.jus.br/arqmvos/tse-resolucao-no-23-416-de-20-de-novembro-de-2014-brasilia-df 

19 CNJ Resolução 90/2009 - Disponível em 

http://www.cnj .jus.br///images/atos_normativos/resolucao/resolucao_90_29092009_02012013134629.pdf 
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determinou que cada Tribunal deve elaborar e manter um Planejamento Estratégico de 
TIC - PETI devidamente alinhado às diretrizes estratégicas institucionais e nacionais, 
sendo que essa mesma Resolução (Art. 15) concede ao TSE propor normas específicas 
sobre Tecnologias da Informação e das Comunicações (TIC) para o respectivo segmen¬ 
to, podendo também recomendar uso de estruturas e serviços de tecnologia disponí¬ 
veis. Consta na norma que, nesse caso, cabe ao CNJ manter banco das melhores práti¬ 
cas e que definirá requisitos para atestar a conformidade de sistemas de automação 
judicial, conferindo selo a esse respeito. 

Não restou claro para a presente Auditoria Especial o alcance das normas do CNJ 
com relação ao próprio sistema eletrônico eleitoral. A Auditoria Especial também não 
teve acesso a um possível "Selo" que o CNJ teria concedido ao TSE sobre as melhores 
práticas para o sistema eleitoral e urna eletrônica, uma vez que esse "Selo" constitui¬ 
ria um requisito obrigatório caso o TSE pretendesse se submeter apenas às suas nor¬ 
mas particulares sobre Tecnologia da Informação. 

Como poderá ser verificado no corpo do presente relatório, a Auditoria Especial 
foi impedida de realizar exames, recebeu esclarecimentos técnicos muitas vezes su¬ 
perficiais e vagos e não teve acesso a documentos técnicos supostamente existentes 
em função de normas específicas do TSE que não seguem integralmente as diretrizes 
de transparência do Poder Judiciário. Considera-se que o problema está relacionado ao 
papel múltiplo do TSE enquanto elaborador e aplicador de normas, fiscalizador do seu 
cumprimento e operador do sistema eleitoral. 

A autoavaliação sobre governança no TSE realizada em 2012 mostra avaliações 
máximas (nota 5) para o Escritório de Processos Organizacionais, para a Escola de 
Gestão e para as questões gerenciais e de competências, o que se mostra coerente 
com o forte espírito de equipe demonstrados pelos técnicos do TSE e TRE's que aten¬ 
deram os auditores desta Auditoria Especial. 

Contudo, 0 estudo do TSE sobre sua própria governança confirma a existência de 
problemas graves nas questões que podem ser críticas para a integridade do sistema 
eleitoral. Foi atribuída ainda em 2012 nota péssima (nota 1) exatamente para a "Go¬ 
vernança em Tecnologia da Informação", o que, em tese, permanece e atualmente se 
mostra coerente com as deficiências na Governança em TI identificadas na presente 
Auditoria Especial com respeito à transparência com o eleitor e cerceamento na averi¬ 
guação das denúncias. 

A falta de conformidade nas questões de Governança de TI remete a problemas 
graves como aqueles relacionados à não comprovação pelo TSE de efetivos controles 
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sobre os módulos e componentes de software que são fornecidos por terceiros para 
compor 0 sistema eleitoral, comprometendo a credibilidade e integridade de todo o 
sistema. Constatações desse tipo pela atual Auditoria Especial são coerentes com a 
má avaliação (nota 2) apurada em 2012 no que se refere à falta de aplicação de san¬ 
ções em licitações e contratos. A carência de controles efetivos, por exemplo, no có¬ 
digo-fonte de programas criados e mantidos por terceiros e que integram a Urna Ele¬ 
trônica pode perpetuar fragilidades e dar abertura para fraudes por ausência de san¬ 
ções que deveriam ser aplicadas a cada falha, além de sugerir possíveis conivências: 


P.l Análise e melhoria de processos 

P.1.1 Escritório de Processos Organizacionais 

5 

P.1.2 Escritório de Gestão de Qualidade 

4 

P.2 Gestão de contratos 

P.2.1 Manual de gestão de Contratos Administrativos na JE 

4 

P.2.2 Manual de aplicação de sanções em licitações e contratos 

2 

P.3 Avaliações 

P.3.1 Avaliação de competências 

5 

P.3.2 Avaliação gerencial 

5 

P.3.3 Programa de formação de lideranças 

5 

P.3.4 Escola de gestão 

5 

P.4. Governança em Tecnologia da Informação 

P.4.1 Governança em Tecnologia de Informação 

1 

P.4.2 Processo judicial e administrativo eletrônico 

2 


Figura 2 - Avaliação de governança - Processo - fonte TSE 

A esse respeito, mais recentemente a Portaria número 490, de 08 de outubro de 
2013, instituiu mais um grupo de trabalho incumbido de realizar estudos e propor ori¬ 
entações para fomentar a implantação de Governança de TI nos tribunais eleitorais 

3.8.Governança de TI e o Sistema Operacional da Urna 

Sistema operacional é um programa vital responsável pelas funções básicas de 
um computador. Basicamente, ele estabelece o início das operações, controla teclado 
e vídeo, comanda o funcionamento dos demais programas e cuida da integridade do 
equipamento. 

A importância das funções executadas pelo sistema operacional torna imprescin¬ 
dível seu exame detalhado para assegurar a correta averiguação das denúncias. Po¬ 
rém, esse exame não pode ser realizado efetivamente nas condições extremamente 
restritivas impostas pelo TSE. 


20 Disponível em http://sintse.tse.jus.br/documentos/2013/Out/14/portaria-no-490-de-8-de-outubro-de-2013-constitui 
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Se por um lado o TSE autoriza vislumbrar rapidamente o código-fonte do sistema 
operacional da urna, denominado atualmente UENUX, por outro lado é impossível sua 
avaliação real dentro da curta janela de tempo permitida pelo Tribunal e nas condições 
técnicas extremamente limitadas. 

Nessa questão cabe analisar a origem do sistema operacional UENUX, sua titula¬ 
ridade e as permissões pertinentes. 

O UENUX não é um software original desenvolvido pelo TSE ou pelos seus forne¬ 
cedores, mas sim um programa na sua origem adaptado (derivado) a partir de um nú¬ 
cleo {kerneí) conhecido pelo nome Linux, desenvolvido e mantido orginalmente pelo 
programador finlandês Linus Torvalds. 

O autor Linus Torvalds coloca seu código-fonte livremente disponível no mundo 
especializado, mas para isso é necessário que as condições de licenciamento se pro¬ 
paguem obrigatoriamente para as novas derivações^T 

Ponto relevante com relação à Auditoria Especial é que o contrato de licencia¬ 
mento do sistema operacional em questão impõe ao desenvolvedor a obrigação de 
permitir a qualquer pessoa copiar o código-fonte, realizar quaisquer estudos, testes e 
avalições e produzir novas derivações a partir da cópia do código-fonte. Vejamos: 

O UENUX utiliza o GNU/Linux^^: 

O Projeto GNU tem duas licenças principais a serem usadas 
para bibliotecas. Um deles é o GNU Lesser GPL; o outro é o 
GNU GPL. A escolha de uma licença faz uma grande diferen¬ 
ça: usando a Lesser GPL permite o uso da biblioteca em pro¬ 
gramas proprietários; usando a GPL para uma biblioteca tor¬ 
na disponível apenas para programas livres^^. 

A Licença Pública Geral GNU (GPL)^"^: 

"é uma licença de copyleft livre para softwares e outros ti¬ 
pos de trabalhos (...) A Licença Pública Geral GNU pretende 
garantir sua liberdade de compartilhar e modificar todas as 


21 Vide GNU, General Public License (GPL) e Free Software Foundation (FSF) 

22 Disponível em: http://www.tse.gov.br/internet/eleicoes/arquivos/Linux_nas_urnas.pdf 

23 Tradução livre: http://www.gnu.org/philosophy/why-not-lgpl.html 

24 http://www.gnu.org/licenses/gpl-howto.html 
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versões de um programa - para se certificar que o software 
continue iivre para todos os seus usuários 

Copyleft é: 

um método iegai de tornar um programa em software iivre e 
exigir que todas as versões modificadas e estendidas do pro¬ 
grama também sejam software iivre^^. 


Auditar esse código é tarefa essencial porque o funcionamento efetivo dos pro¬ 
gramas aplicativos da Urna Eletrônica pode ser indevidamente e silenciosamente mo¬ 
dificados ou influenciados a partir de alterações indevidas no sistema operacional ou 
em seus drivers. Tais procedimentos escusos poderiam, por exemplo, modificar a iden¬ 
tificação das teclas digitadas pelo eleitor com o código do candidato, as informações 
mostradas na tela com sua fotografia ou mesmo os votos gravados em uma memória 
de resultado. 

Cabe notar que a imprensa especializada frequentemente divulga notícias sobre 
modificações secretas realizadas em outras partes do mundo no núcleo do sistema 
operacional Linux com finalidades escusas ou não autorizadas. Por isso, é essencial o 
exame contínuo do código-fonte do sistema operacional e drivers utilizados na Urna 
Eletrônica e suas cópias devem ser posta à disposição dos partidos em conformidade 
com sua licença. 

As normas do TSE não preveem o atendimento das normas relativas à copyieft, 
pois não consta que haja livre acesso e possibilidade de cópia do código-fonte do sis¬ 
tema operacional e seus drivers para análise nos laboratórios dos auditores. 

Essas normas do TSE permitem apenas rápidas e limitadas vistorias realizadas 
dentro das instalações do TSE, havendo também restrições quanto às ferramentas e 
os métodos que podem ser utilizados. 

Lesser GPL, por sua vez, permite o desenvolvimento de programas proprietári- 
os^^ 0 que significa que, em determinado grau, sua cópia, reprodução ou redistribui- 
ção é limitada pelo autor do programa proprietário. 


25 Tradução livre - Fonte: http://www.gnu.Org/licenses/gpl-3.0.en.html 

26 http://www.gnu.org/licenses 

27 http://www.gnu.org/philosophy/why-not-lgpl.html 
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Quando há programa proprietário, é uma faculdade do autor do código deixar o 
programa em domínio público, deixando-o, por exemplo, sob a licença de copyleft. 

Pelas regras do GNU, o autor do UENUX não estaria obrigado a disponibilizar o 
código-fonte de seu programa aos eleitores, sendo obrigada a, no máximo, fornecer o 
código-fonte e manual de instalação a quem possuir cópia do código-objeto^®: 

O GPLv3 exige que eleitores sejam capazes de modificar o 
software sendo executado em uma urna eletrônica (#v3Vo- 
tingMachine)? 

Não. Empresas distribuidoras de dispositivos que incluam 
software coberto pela GPLv3 são obrigadas no máximo a 
prover o código fonte e informações sobre instalação do 
software para pessoas que possuam uma cópia do código 
objeto. O eleitor que usa a urna eletrônica (como qualquer 
outro "kiosque") não ganha a posse sobre o equipamento, 
nem mesmo temporária, de modo que o eleitor também não 

recebe a posse do programa binário nele contido. 

Perceba, entretanto, que a votação é um caso muito especi¬ 
al. O simples fato do software em um computador ser gratui¬ 
to não significa que você pode confiar no computador para a 
eleição. Nós acreditamos que computadores não podem ser 
considerados confiáveis para fins eleitorais. Votações deveri¬ 
am ser feitas em papel. 

Assim, embora a utilização do GNU não obrigue seu usuário a disponibilizar o có¬ 
digo fonte de programas modificados quando não disponibilizados a terceiros, como é 
0 caso do UENUX, é fato que o autor do código modificado tem a faculdade de promo¬ 
ver o software livre, disponibilizando seu código, por licença copyleft, a fim de contri¬ 
buir com 0 Projeto GNU: 


Fazer do programa um software GNU significa contribuir ex¬ 
plicitamente para o Projeto GNU. Isso acontece quando os 
desenvolvedores do programa e o Projeto GNU concordam 
em fazê-lo^^. 


28 Fonte Free Software Foundation’s Licensing and Compliance Lab, disponível em: http://www.gnu.org/licenses/gpl- 
faq.en.html#v3VotingMachine 

29 http://www.gnu.org/licenses/gpl-faq.pt-br.html 
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A GPL não obriga você a distribuir sua versão modifícada. 

Você é iivre para fazer as suas modificações e utiiiza-ias de 

forma privada, sem nunca disponibiiizá-ias. 

Mas se você disponibiiizar a versão modificada para o púbii- 

co de quaiquer forma, a GPL requer que você torne o código 

fonte disponívei para os usuários, sob os termos da GPL. 
Portanto, a GPL dá permissão para se disponibiiizar o progra¬ 
ma modificado de aigumas formas, mas não de outras for¬ 
mas; mas a decisão disponibiiizar ou não o programa depen¬ 
de de você^°. 

Com efeito, esta pareceu ser a ideologia do TSE quando do desenvolvimento e 
aplicação do UENUX, pois, conforme publicou o próprio TSE em 2007, a ideia do código 
aberto foi uma das motivações que o levaram a escolher o GNU/LINUX, uma vez que o 
software livre ensejaria a disponibilização do código fonte ao público em geral, permi¬ 
tindo sua auditoria: 


Segundo a Secretaria, as vantagens da utiiização do Linux 
na urna eietrônica são: padronização, pois é possívei utiiizar 
o sistema operacionai Linux em todos os modeios de urna; 
transparência, por se tratar de um sistema operacionai aber¬ 
to, todo código-fonte está disponível ao público em 
geral e pode ser auditado livremente: independência, já 
que o desenvoivimento será reaiizado peia própria equipe 
técnica do TSE, não haverá dependência de fabricante ou 
fornecedor, muito menos haverá pressões mercadoiógicas 
para atuaiização de versão, nem dependência de poiíticas de 

iicenciamento e suporte, como ocorre hoje. 

Outros aspectos positivos são: a confiabiiidade; o custo zero, 

pois não há pagamento de propriedade inteiectuai e de direi¬ 
tos autorais, pois não requer quaiquer licença; e sua adapta¬ 
ção às necessidades da Justiça Eleitoral, uma vez que conte¬ 
rá somente o necessário para o funcionamento da urna. A 
manutenção ou qualquer alteração poderá ser feita interna- 


30 http://www.gnu.org/licenses/gpl-faq.pt-br.html 
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mente e com muita rapidez, sem a necessidade de interven¬ 
ção do fabricante ou fornecedor. 

Essa substituição, por fim, aumentará a credibiiidade das 
eleições, pois a substituição dos atuais sistemas operacio¬ 
nais utilizados por Linux é um fator facilitador para apresen¬ 
tação do sistema na íntegra, incluindo o núcleo, sem as difi¬ 
culdades impostas pela propriedade intelectual dos criado¬ 
res^^. 

A ideia de código aberto foi reforçada em outras publicações. Vejamos notícia pu¬ 
blicada pela Agência TSE em 2008: 

Os novos modelos de urna possuem um scanner para identi¬ 
ficação dos eleitores pelas digitais e custa aproximadamente 
800 dólares. A partir deste ano, todas as urnas vêm com o 
sistema operacional Linux, que é de código aberto. Até a úl¬ 
tima eleição, o TSE utilizava sistemas proprietários, que são 
pagos. Para a alteração, são apontadas três vantagens: a 
gratuidade do Linux, a transparência do código aberto, que 
facilita auditorias, e, por fim, a robustez do sistema, que ga¬ 
rante segurança dos dados das eleições^^. 

Também em 2008, o TSE publicou notícia a respeito da votação paralela e sobre a 
abertura dos códigos dos sistemas eleitorais aos partidos, destacando que, em deter¬ 
minado dia daquele ano, haveria uma sala de apresentação do sistema aos partidos e 
especialistas previamente credenciados: 

TSE abre códigos dos sistemas eleitorais aos partidos e des¬ 
carta possibilidade de invasão (...)Um dos recursos que se- 


31 http://agencia.tse.jus. br/sadAdmAgencia/noticiaSearch.do?acao=get&id=966324 

32 Fonte:http://agencia.tse.jus.br/sadAdmAgencia/noticiaSearch.do?acao=get&id=1029372&toAction=NOTI_AGEN- 
CIA_PAGE_PRINT&print=tme 


p. 42 de 217 



rão colocados à disposição dos partidos será o dispositivo de 
assinatura digital, que servirá para validar os programas que 
serão desenvolvidos para as eleições, os quais serão todos 
desenvolvidos na plataforma Linux, de código aberto e 
softwares livres. A assinatura digital servirá para confirmar a 
integridade da votação, já que as urnas só vão funcionar se 
reconhecê-la. 

Em 2009, no II Congresso Internacional sobre Software Livre e Governo Eletrônico 
- CONSEGI, realizado pela Secretaria de Logística e Tecnologia da Informação 
(SLTI/MPOG), Comitê Técnico de Implementação de Software Livre - CISL e pela Escola 
de Administração Fazendária - ESAF^^, foi ministrada palestra sobre o UENUX, sendo, 
mais uma vez, frisada a transparência e confiabilidade do programa: 

O software livre foi adotado nas eleições municipais do ano 
passado no Brasil. As 430 mil urnas eletrônicas utilizadas fo¬ 
ram adaptadas para usar sistema operacional GNU-Linux, 
desenvolvida pela equipe técnica do TSE (Tribunal Superior 
Eleitoral). 

A mudança no sistema operacional das urnas tornou o pro¬ 
cesso eleitoral mais transparente e confiável, permitindo au¬ 
ditoria do sistema operacional por qualquer interessado em 
se certificar de sua segurança, além de diminuir o custo da 
aquisição de novas urnas eletrônicas, dada a gratuidade do 
Linux, segundo o TSE^"^. 

Assim, é bastante claro que o TSE utilizou como importante motivo à implemen¬ 
tação do GNU/Linux no sistema eleitoral o fato de ser software livre, com código aber¬ 
to, auditável por todos, o que não corrobora com sua negativa de fornecimento de da¬ 
dos solicitados pela equipe técnica da Auditoria Especial das Eleições de 2014. 

No mesmo sentido, não coaduna com a ideia de transparência, software livre e 
código aberto, a limitação imposta pela Resolução 23.397^^ do TSE, quando determina 
que, nas cerimônias de análises de códigos - que não poderá ser realizada por qual- 

33 http://www2.consegi.gov.br/2009/comites-e-organizacao 

34http://www2. consegi.gov.br/2009/assessoria-de-imprensa/ciipping-consegi-2009/paiestra-uenux-software-iivre-nas-ur- 
nas-eietronicas/ 

35 http://www.tse.jus.br/eleicoes/eleicoes-2014/normas-e-documentacoes/resolucao-no-23-397-consolidada-com-alter- 
acoes 
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quer pessoa - somente poderão ser utilizados os programas previamente aprovados 
pela Secretaria de Tecnologia da Informação do TSE. 

Por fim, cabe a reflexão sobre o código-objeto^®, também não fornecido aos Audi¬ 
tores, que, conforme visto alhures, ensejaria o fornecimento do código-fonte, especial¬ 
mente no caso de urnas eletrônicas, segundo as regras do GNU. 

3.9.Governança do TSE Quanto aos Sistemas Aplicativos 

Em essência, o sistema eleitoral como um todo é composto por cerca de 27 siste¬ 
mas aplicativos que cumprem as funções inerentes aos processos de gestão de eleito¬ 
res, candidatos e unidades eleitorais, votação e totalização. O elevado índice de auto¬ 
matização do processo e a ausência de controles paralelos efetivos faz com que o sis¬ 
tema eleitoral como um todo imponha à nação a necessidade de acreditar na própria 
governança do TSE como fiador da licitude do processo, o que contradiz todas as nor¬ 
mas técnicas sobre segurança de sistemas eletrônicos. 

Os aplicativos que compõem o sistema eleitoral são desenvolvidos principalmen¬ 
te pelo TSE, por outros órgãos públicos e por empresas fornecedoras privadas. As fa¬ 
ses de especificação e desenvolvimento dos sistemas eleitorais não podem ser acom¬ 
panhadas por representantes da sociedade, mas há determinadas janelas nas quais 
partidos, coligações, OAB e o Ministério Público podem realizar algum acompanhamen¬ 
to, basicamente limitado à visualização dos códigos-fonte em Sala de Apresentação do 
TSE, sendo os procedimentos sujeitos a normas limitadoras^^ que dispõem sobre a ce¬ 
rimônia de assinatura digital e fiscalização do sistema eletrônico de votação, do regis¬ 
tro digital do voto, da votação paralela e dos procedimentos de segurança dos dados 
dos sistemas eleitorais. 

Em seguida, os programas são compilados e assinados digitalmente por repre¬ 
sentantes do TSE, partidos, OAB e Ministério Público. Códigos hash são gerados, entre¬ 
gues aos participantes e publicados no site do TSE. Após, os sistemas são gravados 
em mídia não regravável, lacrados fisicamente, depositados em sala-cofre do TSE e as 
correspondentes chaves eletrônicas privadas e senhas de acesso guardadas pela Justi¬ 
ça Eleitoral. 


36 “(...) criado pela conversão do código-fonte em linguagem de máquina. É gerado pelo compilador. Só é criado 
quando não há erros no código-fonte". https://www.inf.pucrs.br/~pinho/Laprol/ConceitosBasicos/ConceitosBasi- 
cos.htm 

37 Lei n° 9.504/1997, artigo 66, parágrafo 1°, e Resolução do TSE 23.397/2013 
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Os dados e programas eleitorais assinados e lacrados são enviados por rede pri¬ 
vada aos TRE's, os quais conferem códigos hash em audiências públicas e via progra¬ 
ma GEDAI-UE geram a flash de carga sobre candidatos e eleitores, a flash de votação 
e memória de resultado. A flash de carga gera número único de correspondência SCUE 
a partir do número de série da urna, da seção e de outros dados. São inseridas então 
flash de votação e a memória de resultado, sendo que o programa ATUE verifica a 
urna e seus componentes com acompanhamento dos partidos, OAB e MP. O programa 
VOTA obtém os votos, grava o resultado em memória e os dados são transmitidos 
para totalização^®. Os partidos podem novamente verificar códigos-fonte e executá¬ 
veis, porém, sempre sob limitações que impedem exames conclusivos. 

Conforme descrito neste documento, a Auditoria Especial comprovou que: (i) a 
área de tecnologia não conseguiu apresentar documentação técnica original e consis¬ 
tente sobre a especificação, desenvolvimento e manutenção dos sistemas aplicativos; 
(ii) parte da documentação de programas está inserida diretamente no código-fonte. 
Contudo, sua utilização é irregular e confusa (por exemplo, ora há maior detalhamento 
de funções, ora não há qualquer detalhamento), de tal maneira que a alegação dos 
técnicos de que isso resultaria da complexidade ou importância da rotina se mostrou 
inconsistente, pois foram encontradas rotinas críticas não documentadas e rotinas 
acessórias e simples fartamente documentadas, demonstrando tratar-se mais de esti¬ 
los individuais de cada técnico do que uma metodologia consistente e uniforme; (iii) 
ao longo da vistoria, a Auditoria Especial constatou frequentes dúvidas e confusões 
das equipes técnicas do Tribunal ao não conseguir localizar e explicar tecnicamente 
determinados programas ou componentes, notando-se que nesse momento, aparente¬ 
mente, não procuram apoio em documentação, possivelmente por não existir, não es¬ 
tar atualizada ou ser inadequada aos objetivos; (iv) verificou-se existir comentários e 
anotações inapropriadas e comentários sobre a existência de erros em rotinas, sem 
que tivessem sido claramente corrigidas, ocorrência frequente em programas de teste, 
sendo que os técnicos explicaram que tais trechos de código foram gerados por forne¬ 
cedores externos e tais comentários seriam removidos, demonstrando-se com isso 
que os técnicos do TSE falham ao receber produtos adquiridos via licitação pública e 
permitem a existência de erros ao longo da vida útil dos programas, mesmo que se¬ 
jam de teste. 

Cabe novamente reiterar que a auditoria eficaz dos sistemas aplicativos deveria 
ser realizada em laboratórios autônomos e independentes, sem restrições quanto aos 

38 Vide http://www.tse.jus.br/noticias-tse/2014/Julho/sistemas-da-urna-eletronica-brasileira-sao-totalmente-desenvol- 
vidos-pelo-tse 
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objetivos, métodos e ferramentas, além de serem realizados sem qualquer supervisão 
com prazo mínimo de 60 dias. A cada alteração de qualquer componente deve ser as¬ 
segurada a possibilidade de nova auditoria do componente e do sistema como um 
todo. 

3.10. Governança TSE na Criptografia e Assinatura Digital 

A integridade do sistema eleitoral depende essencialmente do sistema de cripto¬ 
grafia desenvolvido, mantido e fornecido pelo Centro de Pesquisa e Desenvolvimento 
para a Segurança das Comunicações (CEPESC). 

Esse Centro está subordinado ao Departamento de Pesquisa e Desenvolvimento 
Tecnológico (DPDT), da Secretaria de Planejamento, Orçamento e Administração 
(SPOA), todos na Agência Brasileira de Inteligência (ABIN). Por sua vez, a ABIN respon¬ 
de ao Gabinete de Segurança Institucional (GSI) da Presidência da República (PR). 

Como é mostrado neste documento, o código desenvolvido pelo CEPESC está 
presente em praticamente todos os pontos centrais do sistema eleitoral, configurando 
um ponto crítico de falha uma vez que erros ou procedimentos indevidos inseridos 
nessa rotina são capazes de se propagar ou dominar os demais componentes do siste¬ 
ma. 

Nesse mesmo sentido, considera-se violação dos princípios que norteiam a segu¬ 
rança de sistema o fato do projetista e mantenedor do sistema estar funcionalmente 
subordinado diretamente a uma das partes que participam do próprio pleito eleitoral 
processado pelo sistema, no caso, a Presidência da República. 

Considera-se que os procedimentos formais estabelecidos pela legislação eleito¬ 
ral sobre pontos de controle do código-fonte são insuficientes e não asseguram a ine¬ 
xistência de erros ou rotinas inadvertidas ou indevidas no processo eleitoral. 

A Auditoria Especial considera como crítica e não confiável a função de criptogra¬ 
fia empregada no sistema eleitoral: os códigos, procedimentos e chaves não são de 
fato auditáveis e prevalecem pontos de risco e enfraquecimento na segurança. Mesmo 
se for considerado que, pelo menos em tese, as rotinas são públicas e apenas as cha¬ 
ves precisam ser mantidas em sigilo, considera-se o sistema não confiável por princí¬ 
pio porque as chaves são geradas pela própria ABIN. 

O CEPESC cria algoritmos criptográficos e soluções proprietárias de uso exclusivo 
do Governo e desenvolveu para o TSE a biblioteca criptográfica com assinatura digital. 
Parte do seu código-fonte fica à disposição para análise por uma semana antes da la- 
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cração dos programas da Urna Eletrônica^®, cabendo notar que ele é um elemento co¬ 
mum às diversas fases do processo eleitoral, como ilustra o diagrama a seguir: 


PRESIDÊNCIA DA REPUBLICA 
ABIN CEPESC 



TSE insere rotinas 
e chaves 
criptográflcas 
CEPESC nos 
códigos-fonte 
recebidos dos 
fabricantes 


Rotinas CEPESC 
cifram pacotes de 
software e dados 
provenientes do 
TSE destinados 
aos TREs 


Rotinas CEPESC 
cifram Boletim de 
Urna para 
transporte aos 
centros de 
totalização 


Rotinas CEPESC 
controlam 
comunicação 


Rotinas CEPESC 
decifram Boletim 
de Urna a ser 
totalizado no 
centro de 
distribuição 


Logo, considera-se crítica qualquer falha na gestão desse ambiente, ante a sua 
relevância para o sistema e operação em diversas fases de execução do processo elei¬ 
toral. 

3.11. Governança do TSE na Atuação dos Juízes Eleitorais 

A Auditoria Especial verificou que a conduta dos Juízes Eleitorais segue estrita¬ 
mente a rotina estabelecida pelo TSE durante as chamadas auditorias de urnas em 
atendimento a reclamações dos partidos em determinada zona eleitoral. Uma vez que 
tais normas determinam procedimentos inócuos frente a falhas ou procedimentos in¬ 
devidos mais sofisticados, a rotina oficial proporciona meios para torná-las indetectá- 
veis. Afinal, falhas ou fraudes serão indetectáveis nos procedimentos de auditoria se 
houver comprometimento dos programas empregados na própria auditoria. 

Cumpre notar que os Juízes abdicam de adotar nos seus processos em Varas Elei¬ 
torais os mesmos critérios que usualmente utilizam nas suas Varas de origem nas es¬ 
feras Cível ou Criminal, onde determinam e dirigem perícias técnicas imparciais e rea¬ 
lizadas com a profundidade necessária para apurar a verdade dos fatos. Na Justiça 
Eleitoral, eles deixam de realizar exames periciais e se submetem a determinar única 

39 Memorando CSELE/STI152, de 20/11/2013, em atendimento ao Ofício 58/2013 CPIDAESP. Disponível em 
www.senado.gov.br. 
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e exclusivamente os procedimentos estabelecidos peloTSE, insuficientes e ineficazes 
para a real verificação dos fatos técnicos e para o efetivo convencimento judicial, po¬ 
dendo levar o decisor a erro. 

3.12. Governança do TSE nos Testes Públicos das Urnas 

O TSE instituiu em 2010 a prática de realizar testes públicos como parte dos pro¬ 
cedimentos para avaliar a segurança da urna eletrônica e apoiar a melhoria continua 
do projeto. 

Tais testes não cumprem o objetivo pretendido pelo TSE sobre comprovar a segu¬ 
rança da Urna porque são fortemente limitados por normas e decisões do próprio Tri¬ 
bunal que levam à não exposição efetiva dos equipamentos e sistemas à avaliação de 
técnicos independentes. Assim, os testes públicos são inservíveis ao propósito de com¬ 
provar a segurança do sistema porque os testadores não estão livres para escolher 
métodos e ferramentas segundo o método investigativo, exploratório e típico da cultu¬ 
ra hacker, que em todo o mundo identifica e demonstra graves falhas de segurança. 

Além disso, é impossível para qualquer técnico avaliar mais de uma dezena de 
milhões de linhas de complexa programação durante as poucas horas concedidas pelo 
TSE, condição que mais uma vez demonstra a falha de governança do TSE no que se 
refere à segurança do sistema eleitoral, frustrando sua obrigação para com o eleitor, 
quem é, de fato, o proprietário do sistema eleitoral. 

Por outro lado, os testes públicos realizados conforme formato adotado inicial¬ 
mente pelo TSE são úteis na busca de falhas. Nesse sentido, foram significativos os re¬ 
sultados obtidos por avaliadores independentes no teste público realizado em 2012. 

Esta Auditoria Especial considera uma falha grave de governança do TSE, contrá¬ 
ria às diretrizes sobre transparência do Poder Judiciário e da Administração Pública já 
mencionadas, a supressão do teste público previsto para 2014, logo após o último tes¬ 
te público, realizado em 2012, ter descoberto e demonstrado grave falha de seguran¬ 
ça que permitia a quebra do sigilo dos votos de qualquer urna, feito realizado por equi¬ 
pe coordenada pelo Prof. Diego Aranha, com equipe independente de investigadores 
da Universidade de Brasília. 

Não restou transparente ao eleitor, como deveria, a real motivação do TSE e 
quais práticas de governança adotou diante da sua própria infraestrutura tecnológica 
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quando suprimiu ou postergou os testes públicos razoavelmente independentes logo 
após a descoberta da grave falha de desenvolvimento no programa aplicativo da Urna. 

Ocorre que na sequência o TSE editou a Portaria n^ 215, de 10 de abril de 2015'*°, 
que institui um Grupo e Trabalho sobre a segurança do sistema automatizado de vota¬ 
ção brasileira, um formato ainda mais restrito para se avaliar a segurança do sistema, 
concentrado em funcionários internos do próprio TSE, incluindo representantes dos 
grupos de trabalho sobre inovação tecnológica das urnas eletrônicas'‘\ representantes 
do grupo responsável pelo ecossistema da urna eletrônica"*^ e de representantes de 
TRE's. 

O Grupo de Trabalho de Segurança da Urna será conduzido pelo Coordenador de 
Sistemas Eleitorais e terá participação externa limitada a um ou dois participantes que 
não podem ser considerados independentes em função dos critérios para admissão 
dos interessados. Por exemplo, não consta que tenha sido incluído no grupo o pesqui¬ 
sador que descobriu nos testes de 2012 a já mencionada grave falha no sistema da 
Urna - mais um indicador que sugere estar a governança TSE voltada para a causa 
corporativa interna ligada à área tecnológica com possível detrimento na transparên¬ 
cia e prestação de contas ao Poder Judiciário como um todo, à Administração Pública, 
ao eleitor e à sociedade, especialmente se for confirmada a substituição dos testes 
públicos pelas ações do grupo de trabalho recentemente criado. 

Consta que esse grupo terá como objetivos: 

/ - mapear os requisitos de segurança das diversas fases do 
processo eieitorai; II - atuar como interlocutor nos tribunais 
regionais nas demandas decorrentes de denúncias de frau¬ 
des no sistema eietrônico de votação; III - elaborar um pla¬ 
no nacional de segurança do voto informatizado, para ser 
ampiamente divuigado Junto das Secretarias de Tecnoiogia 
da Informação (STIs) dos tribunais regionais (TREs); IV - pro¬ 
por um modelo ágil de auditoria da votação e totaiização dos 
votos, tai como auditoria interna, que possa ser apiicada pe- 
ios tribunais regionais durante e após as eieiçôes; V - eiabo- 
rar materiai institucionai que divuigue à sociedade os meca- 

40 Portaria TSE n° 125 disponível em http://sintse.tse.jus.br/documentos/2014/Abr/ll/portaria-no-215-de-10-de-abril- 
de-2014-ica 

41 Portaria TSE n° 123, de 12 de março de 2015 

42 Portaria TSE n° 33, de 27 de janeiro de 2015 
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nismos de segurança do processo eleitoral; VI - estudar, pro¬ 
por e validar modelos de execução de testes de segurança. 

Como se pode verificar, os objetivos do grupo de trabalho sobre segurança da 
urna eletrônica indicam mais uma vez a existência de severas falhas de governança 
no TSE naquilo que se refere à sua própria área de tecnologia da informação e ao sis¬ 
tema eleitoral como um todo. 

Se por um lado estão corretos os objetivos estipulados pelo TSE sobre: {!) mapear 
os requisitos de segurança do processo eleitoral-, {li) atuar como interlocutor nos TRE's 
nas demandas decorrentes de denúncias de fraudes no sistema eletrônico de votação; 
e (iii) elaborar um plano nacional de segurança do voto informatizado"; por outro lado, 
configura erro de governança que tais responsabilidades sejam atribuídas a um "grupo 
de trabalho". Bem ao contrário disso, tais atribuições deveriam ser tarefa essencial e 
rotineira da sua infraestrutura fixa do TSE, isso é, das responsabilidades e objetivos 
permanentes e prioritários da Secretaria de Tecnologia da Informação e dos órgãos 
que lhe são subordinados (Coordenadoria de Sistemas Eleitorais, Coordenadoria de So¬ 
luções Corporativas, Coordenadoria de Logística e Coordenadoria de Infraestrutura). 

Sob a óptica das melhores práticas de governança, não parecer coerente que tais 
atribuições, por serem contínuas e essenciais para quem produz e mantém um siste¬ 
ma eletrônico eleitoral, passem a ser de responsabilidade de um "grupo de trabalho" 
ad hoc; ao contrário, elas devem ser atribuídas a órgãos permanentes, atuais ou no¬ 
vos, internos ou externos ao TSE. 

Ademais, o objetivo do TSE de (li) atuar como interlocutor nos TRE’s nas deman¬ 
das decorrentes de denúncias de fraudes no sistema eletrônico de votação não pode 
ser considerado afeito a um "grupo de trabalho", pois fraudes no sistema eletrônico 
constituem crimes a serem averiguados por Controles Internos e Auditoria do Tribunal, 
pelo Ministério Público Eleitoral e pela Autoridade Policial, não parecendo ser razoável 
que um grupo de trabalho constituído por funcionários que, em tese, poderiam ser 
alvo da própria investigação por fraude eleitoral sejam o "interlocutor nos TRE’s nas 
demandas decorrentes de denúncias de fraudes". 

Cabe notar ainda que funcionários do Tribunal se revestem de fé pública (exceto 
quando suas próprias atividades são alvo de averiguação) e que informações sigilosas 
sobre possíveis terceiros investigados não podem ser entregues a pessoas estranhas 
ao Tribunal, que eventualmente participem do grupo de trabalho. 
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Outras falhas de governança estão relacionadas aos objetivos: (iv) propor um 
modelo ágil de auditoria da votação e totalização dos votos, tal como auditoria inter¬ 
na, que possa ser aplicada pelos tribunais regionais durante e após as eleições-, e (vi) 
estudar, propor e validar modelos de execução de testes de segurança. Primeiramen- 
te, não se pode deixar de notar a expressão "tal como auditoria interna", confirmando 
0 entendimento desta Auditoria Especial sobre não ter encontrado indicadores de atu¬ 
ação efetiva da área de Controles Internos e Auditoria nas questões que envolvem tec¬ 
nologia. Além disso, não se mostra razoável que um grupo de trabalho heterogêneo e 
subordinado a uma coordenação de tecnologia atue "tal como auditoria interna". 

Ainda com relação a esse objetivo, a Auditoria Especial estranha a expressão 
"propor um modelo ágil de auditoria da votação e totalização dos votos", uma vez que 
as denúncias ora em apuração e os diversos relatórios de auditoria externa fazem re¬ 
ferência exatamente à falta de respostas reais, profundas e convincentes aos questio¬ 
namentos que envolvem a auditoria da infraestrutura do Tribunal, dos seus fornecedo¬ 
res e dos sistemas de votação e de totalização de votos. 

Grande parte das críticas se refere ao fato dos Juízes Eleitorais abdicarem das 
práticas que utilizam costumeiramente nas suas Varas Cíveis ou Criminais de origem 
para a apuração de fatos e produção de provas técnicas, pois, em seu lugar, se limi¬ 
tam a seguir as instruções para auditoria de urnas impostas como normas pelo TSE, 
sendo notório que tais auditorias são superficiais e totalmente insuficientes para verifi¬ 
car a segurança do sistema eleitoral e para apurar fraudes de alta tecnologia. 

Uma vez que as normas do TSE permitem apenas verificações limitadas e a utili¬ 
zação de programas produzidos ou aprovados pelo mesmo grupo que desenvolve os 
próprios sistemas de votação, não é possível considerar esses procedimentos como 
sendo pertinentes a verdadeiras auditorias. Para que assim fosse, seria necessário 
pelo menos a execução de programas independentes e que buscassem dados direta¬ 
mente nos dispositivos de armazenamento, sem qualquer filtro ou seleção programa¬ 
da internamente pelo TSE. Portanto, o modelo adotado há anos pelos TRE's já é um 
"um modelo ágil de auditoria da votação e totalização dos votos" e por isso é impres¬ 
tável para assegurar a identificação e apuração de fraudes, especialmente aquelas 
mais sofisticadas tecnologicamente ou cuja origem eventualmente seja interna ao pró¬ 
prio TSE ou em seus fornecedores. 

Como demonstra a presente Auditoria Especial, para cumprir suas responsabili¬ 
dades para com a transparência e segurança do sistema eletrônico eleitoral o TSE pre¬ 
cisa determinar, não modelos mais "ágeis de auditoria", mas sim modelos de auditoria 
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mais profundos, independentes e transparentes, isto é, modelos mais próximos da pe¬ 
rícia técnica forense largamente utilizada em outras instâncias do Poder Judiciário. 

Com relação ao objetivo (vi) estudar, propor e validar modelos de execução de 
testes de segurança, inexorável observar que, de forma similar aos objetivos anterio¬ 
res, como modelos de fato não garantem a segurança de qualquer sistema, eles não 
podem ser utilizados para limitar a atuação de auditores, investigadores ou Juízes, 
como já ocorre atualmente. 

Finalmente, cabe reiterar diversos aspectos de governança que podem compro¬ 
meter a segurança do sistema eleitoral: 

(i) o sistema de criptografia e assinatura digital é desenvolvido por órgão subor¬ 
dinado a uma das partes na eleição, tem falhas de implementação e seu uso 
em vez de trazer mais segurança de fato impede verificações e auditorias 
transparentes sobre fraudes; 

(ii) a metodologia de verificação do código-fonte adotada pelo STI não assegura 
ausência de erros ou fraudes; 

(iii) o TSE impede verificações verdadeiramente profundas e independentes so¬ 
bre o sistema eleitoral; 

(iv) não se vislumbra auditoria interna eficaz nas questões que envolvem tecnolo¬ 
gias complexas como aquelas do sistema eleitoral; 

(v) o próprio Tribunal reconhece muitas falhas de governança, especialmente no 

que se refere ãs suas áreas de tecnologia; 

(vi) a votação paralela não pode ser considerada garantidora de integridade e fi¬ 
delidade da votação porque os programas desenvolvidos internamente no Tri¬ 
bunal valem-se dos sensores da urna para monitorar seu ecossistema e as¬ 
sim podem perfeitamente detectar a condição de votação paralela e com isso 
ofuscar quaisquer rotinas fraudulentas; 

(vii) a falta de independência real entre as diversas áreas envolvidas (geradora de 
normas, desenvolvedora do sistema, testadora do sistema, homologadora do 

sistema, colocação do sistema em produção e operação do sistema); e 

(viii) a falta de transparência quanto aos processos e procedimentos técnicos inter¬ 
nos. 

Dessa maneira, em termos de governança voltada ao eleitor, cabe propor apro¬ 
fundamento e maior transparência do modelo por meio de auditorias independentes e 
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não 0 desperdício de recursos públicos em ações de mera divulgação sobre uma segu¬ 
rança não comprovada, o que pode levar o eleitor a engano. 


4. AVALIAÇÃO SOBRE SISTEMAS 
E PROCEDIMENTOS 

Este capítulo foi desenvolvido pelos auditores Amílcar Brunazo Filho, Clovis Torres 
Fernandes, Márcio Coelho Teixeira, Marco Antônio Carvalho, Marcos Antonio Simplicio 
Junior para a Coordenação Geral da Comissão da Auditoria Especial do PSDB e contém 
0 parecer dos auditores após os trabalhos de coleta de dados no TSE e nos TRE's e de 
análise desses dados e do software eleitoral desenvolvido no TSE e usado no 2^ turno 
da eleição presidencial de 2014. 

O pedido inicial de Auditoria do processo eleitoral de 2014^^^ foi apresentado pelo 
PSDB ao TSE na data de 30 de outubro de 2014. A petição inicial continha a justificati¬ 
va do pedido e uma lista inicial dos documentos gerados no processo eleitoral, aos 
quais se pretendia ter acesso para Auditoria. 


43 Protocolo TSE n. 32.860/2014, dentro do processo de APURAÇÃO DE ELEIÇÃO No 1578-04.2014.6.00.000 - 
CLASSE 7 - DISTRITO FEDERAL (Brasília) 
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0 pedido foi submetido à Procuradoria Geral Eleitoral, que se manifestou pelo in¬ 
deferimento, e também foi submetido à Secretaria de Tecnologia de Informação (STI) 
do TSE, que emitiu parecer no sentido de atender o pedido dentro de limitações e res¬ 
trições contidas nas Resoluções TSE 23.397/2013 e 23.399/2013. 

No dia 04 de novembro de 2014"^"^, o plenário do TSE aprovou o pedido do PSDB 
com as limitações inscritas na Resolução 23.397/13, como sugerido pela STI. 

Outros desdobramentos de natureza burocrática adiaram o início efetivo dos tra¬ 
balhos da Auditoria para o final do mês de janeiro de 2015. Durante seu desenvolvi¬ 
mento, a Auditoria encontrou restrições impostas pela autoridade eleitoral, que com¬ 
prometeram 0 alcance e a profundidade dos trabalhos. 

O resumo das conclusões desse relatório é o seguinte: 

a) O Sistema Eleitoral Informatizado Brasileiro não foi projetado, desenvolvido e im¬ 
plantado para permitir uma auditoria independente efetiva do resultado que pro¬ 
duz; 

b) O sistema adotado e o processo desenvolvido pela autoridade eleitoral, com 
suas severas restrições, não permitiram a conferência e a determinação do nível 
de confiabilidade da etapa de votação e apuração dos votos que ocorrem nas ur¬ 
nas eletrônicas; 

c) Na etapa de transmissão e de totalização dos votos, não foram encontrados pro¬ 
blemas graves que indicassem comprometimento da sua confiabilidade. 

Neste relatório se descreve, na seção 4.1, a coleção das dúvidas que levaram o 
partido à iniciativa de solicitar a auditoria e que compõem os objetivos a serem escla¬ 
recidos. Em seguida, na seção 4.2, é apresentado o plano de trabalho idealizado para 
0 início e andamento da auditoria. Na seção 4.3 são descritas as condições restritivas 
que os auditores enfrentaram no desenvolvimento de seus trabalhos. Segue-se, na se¬ 
ção 4.4, a análise conjunta de todas as informações coletadas. Ao final, nas seções 5 e 
7, se apresentam as conclusões e as recomendações dos auditores. 


4.1. Dúvidas Iniciais e Objetivos da Auditoria 

Nos dias seguintes ao 2^ turno da eleição presidencial de 2014, chegaram à 
coordenação da campanha do PSDB um conjunto de várias questões (denúncias e des- 

44 Julgamento AE N° 1578-04.2014.6.00.0000 
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confianças) que haviam sido enviadas por miihares de eieitores, as quais envoiviam 
desde descrição de vuinerabiiidades e hipóteses de fraudes até denúncias documenta¬ 
das sobre ocorrências indevidas. 

As denúncias de caráter gerai com aiguma consistência ou evidência aparente 
(antes de uma auditoria específica), eram: 

4.1.1. Desvio de Votos nas Urnas Eletrônicas 


Vulnerabilidades nos procedimentos e nas urnas eletrônicas permitiriam a 
inserção de software malicioso para desviar votos durante seu registro ou 
apuração. 


Denúncia baseada no fato das urnas eietrônicas brasiieiras serem de modeio 
"dependente do software" e de que há vários momentos em que eiementos terceiriza¬ 
dos têm acesso à produção, transporte e instaiação do software nas urnas. 

Esta denúncia é agravada peio fato do administrador eieitorai não permitir quai- 
quer forma de verificação da integridade do software carregado nas urnas que seja fei¬ 
ta de modo independente do próprio software sob avaiiação. Eia também é agravada 
por testes de penetração bem sucedidos'^^'''®, no exterior, em modeios de urnas do 
mesmo fabricante das urnas brasiieiras. 


4.1.2. Desvio de Votos na Transmissão e na Totalização dos Votos 


Possibilidade de trocas dos resultados transmitidos para as centrais de totali¬ 
zação ou a troca dos resultados dentro dessas centrais. 


Baseada no fato que os TRE's contrataram empresas para, entre outras tarefas, 
participar da coieta e transmissão os resuitados das urnas para os computadores de 
totaiização. 

A percepção púbiica de fraude nesse momento também foi agravada peia divui- 
gação do resuitado da totaiização para o cargo de presidente já quase compieta e so- 

45 Testes da Black Box Voting, em: http://www.blackboxvoting.org/BBVtsxstudy.pdf 

46 Testes da Universidade de Princeton, em: http://www.yontube.com/watch?v=0AKR-Lo-700 
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mente às 20h, depois do final da votação no Acre, e por ter se tornado público que um 
grupo pequeno de pessoas sob coordenação da STI/TSE, para consulta, teve acesso 
aos dados parciais da totalização, com oportunidade de eventual modificação. 

4.1.3. Outras Denúncias 

As denúncias mais específicas (antes da avaliação de sua procedência) aborda¬ 
vam 0 seguinte: 


Geração de Mídias - computadores que geravam as mídias de carga das 
urnas tinham conexão ativa com a Internet; 

Smartmatic^^ - a empresa, estrangeira, teria fraudado a contagem dos vo¬ 
tos - muitas denúncias com documentação diversa, mas inespecífica; 
Eleitor "já votou" - eieitor não pôde votar porque aiguém já tinha votado 

em seu nome - muitas denúncias, aigumas documentadas, inciusive em se¬ 
ções com urnas biométricas; 

Eleitor fantasma - eieitor que viajou ao exterior constatou que aiguém vo¬ 
tou em seu iugar, tendo apresentado documentação da viagem e do certifi¬ 
cado de votação dado peio TSE; 

Fraude do Mesário - mesários inseriam votos nas urnas no finai do dia - 

muitas denúncias, pouco documentadas; 

Urna fantasma - urna votava “sozinha” - com vídeo iiustrando; 
Documentos oficiais descartados - documentos da seção eieitorai joga¬ 
dos no iixo - com vídeo iiustrando; 

Fraude na zerésima - uma zerésima constava com 400 votos para a candi¬ 
data Diima Roussef; 

Teclado adulterado - urna registrava 44 quando se tentava digitar 45 - 
com vídeo iiustrando; 

Dispositivo suspeito - inseriram pen-drive na urna antes do início da vota¬ 
ção - sem documentação. 


Diante dessas denúncias e do quadro de incertezas sobre o resultado eleitoral, os 
auditores tomaram como objetivo verificar a procedência de tais denúncias com a pro- 


47 A empresa Smartmatic teria sido contratada pelo TSE e, posteriormente, por 11 TRE’s para, entre ontras tarefas, 
carregar o software nas urnas e transmitir os resultados. 
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fundidade necessária em cada caso, inclusive procurando fazer recontagens e confe¬ 
rências da apuração e da totalização onde possível. 


4.2.Plano de Trabalho 

Além do objetivo de verificar as denúncias e conferir a apuração e a totalização 
dos votos, a elaboração de um plano de trabalho dos auditores teve que levar em con¬ 
ta 0 modelo tecnológico do sistema eleitoral eletrônico brasileiro sob avaliação. 

As características técnicas do sistema de voto eletrônico brasileiro, de interesse 
para auditoria , são descritas a seguir. 


4.2.1. Descrição do Sistema Eleitoral Eletrônico 

O sistema eleitoral eletrônico adotado pelo TSE baseia-se no uso de urnas eletrô¬ 
nicas de modelo conhecido na literatura acadêmica internacional como DRE sem VV- 
PAT, descrito da seguinte maneira: 

• DRE - Direct Recording Electronic voting machine - equipamento com grava¬ 
ção eletrônica direta do voto, depois de confirmado na tela pelo eleitor, em um 

arquivo chamado de Registro Digital do Voto (RDV). 

• sem VVPAT - Voter Verlable Paper Audit Traib^ - não se produz uma trilha 

material (em papeh para auditoria que permita comparar o voto como visto 
pelo eleitor com o voto que foi registrado no RDV. Essa trilha material para 
auditoria do processamento do voto também é chamada de Independent Vo- 
ter-Verifiable Record (IVVR)"^® ou ainda, em português, como Vofo Impresso 
Conferível pelo Eleitor (VICE). 

A ausência do VVPAT cria um ponto ceao de auditoria na apuração dos votos , 
pois nem os fiscais de partido ou auditores independentes, nem o próprio eleitor, têm 
como conferir se o voto visto na tela da urna foi gravado corretamente no RDV. 


48 Mercuri R. - “Electronic Vote Tabulation, Checks & Balances”. USA: University of Pennsylvania, 27/10/2000 - 
http://www.notablesoftware.com/Papers/thesdefabs.html 

49 NIST, US-EAC - “Voluntary Voting System Guidelines”. USA: U.S. Election Assistance Commission, maio/2009 
- IV Systems ou IVVR é especificado na Seção 7.8 do Volume 1 - 

http://www.eac.gOv/assets/l/AssetManager/VVSG_Version_l-l_Volume_l_-_20090527.pdf 
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Por este motivo, na literatura acadêmica internacional, se diz que este modelo 
DRE sem VVPAT é “dependente do software”^° ou que não atende ao Princípio de Inde¬ 
pendência do Software em Sistemas Eieitorais^^, pois um erro não detectado no 
software (da urna) pode causar erros no resultado que não serão detectados por uma 
auditoria contábil da apuração. 

O sistema desenvolvido pelo TSE, contudo, produz documentação digital e em 
papel que possibilitam uma auditoria contábil da transmissão e da totalização dos vo¬ 
tos. 


Os documentos de auditoria gerados no andamento do processo eleitoral são: 

a) Arquivos de LOG do Sistema Gerador de Mídias - contendo as informações 
de data, hora, identificação e abrangência dos cartões de memória “Flash de 

Carga" gerados para a carga das urnas; 

b) Arquivos de Eleitores Aptos de cada seção/urna; 

c) Tabela de Correspondências Esperadas - com a relação dos números das ur¬ 
nas e das respectivas seções eleitorais para a qual foram preparadas e contêm, 

ainda, a hora em que foi feita a carga da urna e outras informações; 

d) Arquivos de LOG das Urnas - com registros de data e hora dos eventos princi¬ 
pais ocorridos durante o funcionamento de uma urna. Permite, entre outras aná¬ 
lises, contar o total de votos computados no dia da eleição, confirmar a quantida¬ 
de de justificativas apresentadas, avaliar o desempenho do sistema de identifica¬ 
ção biométrica e tabular o tempo de votação de cada voto confirmado; 

e) Zerésima - lista impressa com os nomes dos candidatos ladeados pelo número 

Zero que, supostamente, indicaria ausência de votos; 

f) RDV - Registro Digital do Voto - com os votos supostamente confirmados pelo 

eleitor, gravados em posições aleatórias para impedir a reconstituição da lista 
dos votos ordenados no tempo; 

g) Justificativas - com os nomes e seções eleitorais de eleitores que se apresen¬ 
taram para justificar sua ausência da seção eleitoral de origem. Permite, junto 
com os arquivos de eleitores aptos, determinar a quantidade de casos de eleito¬ 
res que teriam votado em uma cidade e apresentado justificativa em outra; 

50 Rivest R.R., Wack, J.P. - “On the notion of "software independence in voting Systems”. USA: NIST, 28/07/2006 - 
http://people.csail.mit.edu/rivest/pubs/RW06.pdf 

51 O Princípio da Independência do Software em Sistemas Eleitorais estabelece o seguinte: “Um sistema eleitoral é in¬ 
dependente do software se uma modificação ou erro não-detectado no seu software não pode causar uma modifica¬ 
ção ou erro indetectável no resultado da apuração ou na inviolabilidade do voto“ 
http://pt.wikipedia.org/wiki/Independ%C3%AAncia_do_Soffware_em_Sistemas_Eleitorais 


p. 58 de 217 




h) Faltosos - com os nomes dos eleitores que não compareceram para votar. Per¬ 
mite conferir, junto com o arquivo de eleitores aptos, o total de votos colhidos; 

i) BU digitais - os Boletins de Urna são calculados ao final da votação, pela soma 

dos votos gravados no RDV. São gerados em duas formas digitais: a binária 

para processamento da totalização e o Espelho de BU (em texto aberto legível); 

j) BU impresso - trilha material (em papel) de auditoria, para entrega aos fiscais 

dos partidos, que permite a auditoria contábil da transmissão e da totalização; 

k) LOG do sistema de totalização - para se reconstruir e auditar a sequência de 

totalização; 

l) Tabela de Correspondências Efetivadas - com a relação dos números das ur¬ 
nas e das respectivas seções eleitorais de onde vieram os resultados para totali¬ 
zação. 

4.2.2. Definição do Plano de Trabalho Inicial (PTI) 

Essas características do sistema eleitoral eletrônico brasileiro (DRE, dependente 
do software) condicionaram a elaboração do plano de trabalho de auditoria, já que não 
há eficácia em uma eventual "recontagem dos votos" feita pela impressão dos Regis¬ 
tros Digitais dos Votos (RDV), método este sugerido pelo Ministro Henrique Neves em 
seu voto na inicial desse processo. 

Devido ao ponto cego de auditoria da apuração, acima descrito, ao final de tal 
"recontagem dos RDV impressos" os auditores continuariam sem ter determinado se o 
resultado da apuração em cada urna estava correto ou se teria sido distorcido anteri¬ 
ormente à gravação de cada RDV pelo próprio software da urna. 

Por ser um sistema eminentemente dependente do software, a auditoria da pri¬ 
meira etapa do processo eleitoral, a apuração (contagem dos votos de cada seção 
eleitoral) tem que ser feita indiretamente, por meio de um processo de validação e 
certificação do software usado nas mais de 420 mil umas utilizadas no dia da eleição. 

A validação do software, neste caso, consiste numa auditoria completa do có- 
digo-fonte do software das urnas e de todas as etapas do processo de compilação des¬ 
se código-fonte e, ainda, na realização de testes exaustivos do funcionamento do 
software sob situações diversas de risco. 

A certificação do software consiste numa auditoria por amostragem nos códigos 
executáveis (binários) do software embarcado nas urnas. 
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Por outro lado, a existência de BU impresso que poderia ser coletado pelos Parti¬ 
dos no dia da eleição, permite uma auditoria contábil direta da segunda etapa do pro¬ 
cesso eleitoral, que é a transmissão e a totalização dos resultados. 

Essa auditoria da totalização tem, no entanto, de ser feita por amostragem, con¬ 
frontando os BU impressos com os respectivos valores digitais recebidos pelo sistema 
totalizador do TSE, pois não seria possível, por limitações econômicas e práticas, cole¬ 
tar a totalidade dos BU impressos. 

A partir dos objetivos e da análise das características do sistema se estabeleceu 
0 seguinte plano de trabalho inicial (PTI): 


4.2.2.1. Coleta Inicial de Dados 

Solicitação de cópias de todos os 12 tipos de dados acima listados para análise, 
cruzamento de informações e verificação da coerência interna entre eles. 


4.2.2.2. Auditoria da Apuração nas Urnas 

Em um sistema dependente do software: 

a) verificar as consistência entre a quantidade de votos gravados nos diversos ar¬ 
quivos de controle de cada urna (RDV, BU, LOG, Eleitores Aptos-Faltosos); 

b) avaliar toda a implementação do sistema {hardware e software), para verificar se 

os requisitos de segurança do projeto, as salvaguardas anunciadas e as normas 
técnicas adotadas foram atendidas; 

c) avaliar o sistema de certificação digital usado na assinatura digital dos sistemas 

eleitorais, quanto a sua conformidade com o padrão ICP-Brasil; 

d) avaliar a documentação descritiva do desenvolvimento do software das urnas 

para determinar o seu grau de maturidade e de adequação ãs técnicas e boas 
práticas de engenharia de software] 

e) analisar o código-fonte completo de todo o software carregado nas urnas eletrô¬ 
nicas —, obtendo o software fonte no DVD lacrado no dia 04 de setembro de 2014 


52 No entender dos anditores, na expressão “todo o software embarcado” se inclui, ao menos: o Firmware gravado em 
circuitos internos, o BIOS {Basic Input e Output System), o Loader gravado nas mídias de inicialização, o Sistema 
Operacional e todos Aplicativos com suas respectivas bibliotecas internas e externas. 
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no TSE, para avaliar sua completude e a eventual existência de vulnerabilidades 

que pudessem ser exploradas em ataques internos e externos^; 

f) analisar os programas compiladores utilizados quanto a sua autenticidade e inte¬ 
gridade; 

g) recompilar o software para fazer uma auditoria da compilação, comparando com 

os códigos executáveis gravados no mesmo DVD; 

h) ter acesso a uma amostra de urnas realmente usadas na eleição para compara¬ 
ção dos códigos executáveis encontrados com os esperados e também para efe¬ 
tuar testes emulando uma votação real, para verificar seu correto funcionamento; 

i) avaliar o resultado e a eficácia das auditorias internas posteriores ás eleições de 

2014, desenvolvidas sobre os equipamentos usados; 

j) avaliar o sistema de lacres usados nas urnas eletrônicas como meio para revelar 

uma tentativa de adulteração do software] 

k) avaliar os Testes de Votação Paralela, realizados nos TRE’s, quanto a sua efeti¬ 
vidade para verificar a integridade do software das urnas quando em uso sob 
condições normais de votação; 

l) fazer um teste de penetração em urnas reais, carregadas com software oficial, 
para determinar se eventuais vulnerabilidades encontradas são viáveis para ata¬ 
que. 

4.2.2.3. Auditoria da Transmissão e da Totaiização 

a) comparar os dados gerais da eleição (2° turno, 2014 - presidente), como absten¬ 
ção, votos válidos, brancos e nulos, com eleições anteriores similares em busca 
de discrepâncias; 

b) verificar a consistência e coerência entre os resultados da apuração de cada se¬ 
ção/urna e o resultado final publicado; 

c) obter o maior número possível de BU impressos recolhidos por fiscais no dia da 
eleição, inclusive pelo projeto Você FIscaF"', e obter cópias dos BU extraídos de 
uma amostra de urnas usadas na eleição, para comparar com resultados oficiais 
por seção eleitoral; 

d) analisar os arquivos de eventos (logs) dos sistemas de transmissão de resulta¬ 
dos para procurar sinais de acessos impróprios e para refazer e conferir o gráfi¬ 
co da totaiização no tempo, publicado pelo TSE. 


53 Por falta de tempo e de recursos, optou-se por não se efetuar testes exaustivos com o software sob validação. 

54 Projeto Você Fiscal - http://www.vocefiscal.org/ 
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4.2.2.4. 


Demais denúncias específicas e iocaiizadas 


a) procurar evidências das demais denúncias nos TRE’s, nos Cartórios e também 
na análise dos procedimentos de segurança do sistema. 

4.2.2.5. Evoiução 

Este plano inicial poderia ser modificado ou complementado conforme o desen¬ 
volvimento das atividades previstas indicasse a eventual necessidade. 

Ainda, diante da forte concentração das funções de desenvolvimento, implanta¬ 
ção, operação e controle do sistema eleitoral eletrônico pela STI e também pela per¬ 
cepção de seu forte poder de influência na tramitação do processo de auditoria, deci- 
diu-se, para segurança da eficácia da auditoria, que o PTI não deveria ser aberto por 
completo desde o início, sendo apresentadas apenas as partes necessárias a cada eta¬ 
pa do processo. 


4.3.Restrições Encontradas aos Trabalhos de Auditoria 

Desde o início, os auditores enfrentaram obstáculos de natureza administrativa 
que dificultaram seus trabalhos a ponto de comprometer o resultado obtido pela audi¬ 
toria. 


Muitas atividades do plano de trabalho inicial não puderam ser desenvolvidas re¬ 
gularmente por interferências externas e impedimentos impostos pelos administrado¬ 
res do processo sob auditoria que, direta ou indiretamente, estavam tendo auditados 
os seus próprios desempenhos durante a eleição. 

Descreve-se a seguir uma coleção de impedimentos e dificuldades que acabaram 
por restringir o alcance e a profundidade da auditoria. 


4.3.1. As Resoluções do TSE 

As primeiras limitações aos trabalhos da auditoria especial surgiram com a deci¬ 
são da Corte do TSE de acatar sugestão da STI e submeter todos os procedimentos da 
auditoria aos termos das Resoluções TSE 23.397 e 23.399, ambas de 2013. 
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Tais resoluções regulamentam o artigo 66 da Lei 9.504/1997^^ e tratam dos pro¬ 
cedimentos de segurança praticados sobre o equipamento eleitoral. Foram aprovadas 
em dezembro de 2013, sob relatoria do Ministro Dias Toffoli, a partir de minutas apre¬ 
sentadas pela própria STI. 

Cabe anotar que, durante os procedimentos de aprovação do texto final das Re¬ 
soluções, os partidos podem apresentar sugestões, mas essas sugestões também são 
submetidas ao crivo da STI, para que opine sobre o que aceitar ou não. 

Sem exceção, as recomendações da STI foram acatadas e nenhuma sugestão de 
Partidos foi aceita sem ter a aprovação prévia da STP®. 


55 Art. 66. Os partidos e coligações poderão fiscalizar todas as fases do processo de votação e apuração das eleições e 
o processamento eletrônico da totalização dos resultados. § 1° Todos os programas de computador de propriedade 
do Tribunal Superior Eleitoral, desenvolvidos por ele ou sob sua encomenda, utilizados nas urnas eletrônicas para 
os processos de votação, apuração e totalização, poderão ter suas fases de especificação e de desenvolvimento 
acompanhadas por técnicos indicados pelos partidos políticos. Ordem dos Advogados do Brasil e Ministério Públi¬ 
co, até seis meses antes das eleições. 

§ 2° Uma vez concluídos os programas a que se refere o § 1°, serão eles apresentados, para análise, aos representan¬ 
tes credenciados dos partidos políticos e coligações, até vinte dias antes das eleições, nas dependências do Tribunal 
Superior Eleitoral, na forma de programas-fonte e de programas executáveis, inclusive os sistemas aplicativo e de 
segurança e as bibliotecas especiais, sendo que as chaves eletrônicas privadas e senhas eletrônicas de acesso manter- 
se-ão no sigilo da Justiça Eleitoral. Após a apresentação e conferência, serão lacradas cópias dos programas-fonte e 
dos programas compilados. 

§ 3° No prazo de cinco dias a contar da data da apresentação referida no § 2°, o partido político e a coligação pode¬ 
rão apresentar impugnação fundamentada ã Justiça Eleitoral. 

§ 4° Havendo a necessidade de qualquer alteração nos programas, após a apresentação de que trata o § 3°, dar-se-á 
conhecimento do fato aos representantes dos partidos políticos e das coligações, para que sejam novamente analisa¬ 
dos e lacrados. 

§ 5° A carga ou preparação das urnas eletrônicas será feita em sessão pública, com prévia convocação dos fiscais 
dos partidos e coligações para a assistirem e procederem aos atos de fiscalização, inclusive para verificarem se os 
programas carregados nas urnas são idênticos aos que foram lacrados na sessão referida no § 2° deste artigo, após o 
que as urnas serão lacradas. 

§ 6° No dia da eleição, será realizada, por amostragem, auditoria de verificação do funcionamento das urnas eletrô¬ 
nicas, através de votação paralela, na presença dos fiscais dos partidos e coligações, nos moldes fixados em resolu¬ 
ção do Tribunal Superior Eleitoral. 

§ 7 ° Os partidos concorrentes ao pleito poderão constituir sistema próprio de fiscalização, apuração e totalização 
dos resultados contratando, inclusive, empresas de auditoria de sistemas, que, credenciadas junto à Justiça Eleitoral, 
receberão, previamente, os programas de computador e os mesmos dados alimentadores do sistema oficial de apu¬ 
ração e totalização. 

56 Um dos autores do presente relatório tem regularmente apresentado sugestões às resoluções do TSE. Teve, por ex¬ 
emplo, acatada a obrigação de se entregar aos partidos copias idênticas dos arquivos das urnas, sem qualquer trata¬ 
mento prévio pela STl.Entre as sugestões rejeitadas pela STl/TSE, constam os pedidos de uma forma de auditoria 
real que permitisse aos partidos conferir diretamente se os arquivos executáveis carregados nas urnas eram os mes¬ 
mos lacrados em cerimônia no TSE. 

Tal pedido vem sendo apresentado regularmente desde o ano de 2004, depois que constou como recomendação na seção 
5.5 do Relatório da Unicamp contratado pelo TSE em 2002 e que está disponível em: 
http://www.tse.jus.br/arquivos/relatorio-final-de-avaliacao-do-sistema-informatizado-das-eleicoes 

Mas as propostas de adoção de uma forma de auditoria confiável para os Partidos verificarem a integridade do software 
carregado nas urnas por meio independente do próprio software têm sido, desde então, sistematicamente rejeitada 
pela Corte Eleitoral, sempre acatando recomendação da STI contrária a tal tipo de transparência. 
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De qualquer forma, tanto o artigo 66 da Lei 9.504/1997 quanto essas duas Reso¬ 
luções do TSE abordam basicamente procedimentos de avaliação que ocorrem antes e 
durante a eleição, como a apresentação prévia dos códigos-fonte aos partidos, a com¬ 
pilação em cerimônia aberta, a assinatura digital, lacração e carga dos códigos compi¬ 
lados nas urnas, a entrega dos BU impressos e o Teste de Votação Paralela. 

As únicas atividades de auditoria previstas e permitidas nos dias posteriores à 
eleição são o recebimento de cópias de parte dos arquivos de auditoria das urnas 
(LOG, RDV, BU e Tabelas de Correspondências Efetivadas) e a possibilidade de se soli¬ 
citar a execução do programa VPP (Verificador Pré e Pós-eleição) que já fora previa¬ 
mente carregado na urna antes da eleição. 

Essas resoluções não preveem, entretanto, qualquer atividade condizente com as 
técnicas comuns de uma auditoria forense sobre o desempenho das urnas eletrônicas 
como, por exemplo, recontagem dos votos realmente vistos pelo eleitor, verificação di¬ 
reta e sem restrições do conteúdo da memória dos equipamentos, testes de carga e 
de funcionamento em condições controladas, testes de penetração, análise dinâmica 
do software e recompilação dos códigos-fonte, etc. 

Em resumo, tais resoluções não foram escritas com o objetivo de regulamentar 
uma auditoria forense, posterior, sobre o desempenho real de um equipamento eletrô¬ 
nico usado em uma eleição. 

Porém, a Corte do TSE acatou a sugestão da STI de adotar a Resolução 
23.397/2013 como regulamentadora dos procedimentos da Auditoria como se vê, a tí¬ 
tulo de exemplo, neste trecho do voto do Ministro Relator: 

c) a disponibilização de cópias dos arquivos eietrônicos que 
compõem a memória de resuitados será feita nos termos do 
art. 42 da Res.-TSE no^ 23.397/2013. devendo o requerente 
especificar os municípios, as zonas eieitorais ou seções do 
seu interesse, fornecendo as mídias necessárias para grava¬ 
ção; ... 

f2) o acesso aos programas de totaiização de votos utiiiza- 
dos peios tribunais regionais eieitorais e por este Tribunai 
Superior Eieitorai deverá ser feito de acordo com o procedi¬ 
mento previsto na Res.-TSE n^ 23.397/2013. conforme as¬ 
sinalado no parecer técnico: e 

f3) o acesso aos programas e aos arquivos presentes nas ur¬ 
nas eietrônicas, a serem obtidos diretamente das urnas utiii- 
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zadas nas eleições de 2014, será feito mediante escolha ale¬ 
atória em todos os Estados e em pelo menos 10 (dez) cida¬ 
des de cada Estado, observando-se o disposto na Res.-TSE 
n^ 23.397/2013 . 

Com essa decisão, logo no início da Auditoria, de adotar norma que não regula¬ 
mentava uma auditoria externa e independente, a Corte Eleitoral criou fortes obstácu¬ 
los ao desenvolvimento salutar das atividades de uma auditoria de qualidade forense. 

De fato, várias solicitações de dados e de procedimentos de auditoria necessários 
para a sua completa realização foram posteriormente recusadas pela autoridade elei¬ 
toral com 0 argumento simples de que não estavam previstos na normatização que 
eles próprios, os auditados, haviam previamente criado. 

Porém, 0 mais surpreendente foi o argumento usado pela STI para não permitir 
acesso dos auditores aos códigos executáveis do software carregado nas urnas (para 
que se pudesse verificar a sua integridade), como previsto nos §1^ e §2^ do artigo 66 
da Lei 9.504/1997 e no artigo 5^ da Resolução TSE 23.397/2013, sendo dito que nesse 
caso não se aplicariam os termos da mencionada Resolução porque: 

Resposta ao Pedido de Esclarecimento 33 - "... os artigos citados fa¬ 
zem menção a um período que se encerra com a assinatura digital e 
lacração dos sistemas eleitorais” (que ocorreram em 04 de se¬ 
tembro de 2014, antes da eleição e da auditoria, portanto) 

Enfim, de forma casuística e contrariando seu próprio parecer técnico, acatado 
no julgamento da inicial e por ela reafirmado em várias respostas a petições dos audi¬ 
tores, a STI negou permissão para os auditores verificarem a integridade dos progra¬ 
mas executáveis que carregou nas memórias das urnas eletrônicas afirmando, de for¬ 
ma contraditória, que os termos da Resolução 23.397/2013 sobre auditoria dos progra¬ 
mas pelos Partidos não se aplicariam a um ambiente de auditoria do software posteri¬ 
or a 4 de setembro de 2014. 


4.3.2. A STI no Processo de Auditoria 

A STI do TSE assume todas as tarefas ligadas ao uso de tecnologia da informação 
nas eleições. Sob seu amplo guarda-chuva estão incluídas: funções de projeto dos 
equipamentos; definição dos parâmetros de desempenho e de segurança do sistema 
eleitoral; desenvolvimento do software-, especificação técnica das licitações; recebi- 
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mento e guarda dos equipamentos (urnas) comprados; manutenção e logística dos 
equipamentos; controle de toda base de dados e dos sistemas de assinaturas digitais, 
inclusive tendo posse de cópias das chaves privadas de assinatura do TSE e das urnas ; 
preparação e operação de todo o sistema informatizado de eleições; controle e guarda 
de todos os dados digitais gerados nas eleições, etc. 

Também compete à STI fazer a auditoria interna do desempenho do próprio siste¬ 
ma que desenvolve e opera (uma espécie de auto-auditoria) e, ainda, oferecer ao TSE 
assessoria e pareceres técnicos em processos judiciais e administrativos, atuando 
como um verdadeiro "perito do Juízo", inclusive quando é parte no processo. 

Todas as decisões técnicas sobre informatização foram tomadas pela Corte sem¬ 
pre baseada e concordante com o parecer da STI, mesmo quando o caso sob análise 
seja 0 desempenho da própria STI, sendo que na seção anterior foi descrito como a STI 
afetou a decisão de se permitir a auditoria especial. 

Basta ler o voto vencedor do ministro relator e verificar que TODAS as decisões 
parciais da Corte, inclusive a decisão de permitir a auditoria sob limitações, foram to¬ 
madas em consonância com o parecer técnico da STI, sendo válido repisar que as Re¬ 
soluções TSE 23.397 e 23.399, impostas à auditoria por sugestão da STI, tiveram a 
própria STI como a responsável pela redação da sua minuta e da redação final sobre 
os procedimentos de segurança e de auditoria permitidos aos partidos. 

Outro exemplo marcante da influência da STI sobre as decisões da Corte ocorreu 
no caso da definição dos termos da resolução sobre Testes de Segurança (PA TSE n^ 
188-62). 

Como constava do plano de trabalho desenvolver testes de penetração, o PSDB 
peticionou para apresentar sugestões à resolução que estabeleceria as regras desse 
tipo de teste. Foi aberto prazo para o recebimento de sugestões que acabaram sendo 
apresentadas por 4 entidades. 

O PSDB e 0 Comitê Multidisciplinar Independente (CMInd), entre outras suges¬ 
tões, peticionaram para que a STI fosse excluída como membro das Comissões de Re¬ 
gulamentação e de Controle dos testes justificando que era a efetividade do próprio 
trabalho da STI que seria avaliado e, assim, ela não teria isenção administrativa ne¬ 
cessária para evitar-se o direcionamento e controle de tais testes. A sugestão não pe¬ 
dia a exclusão de membros de outros setores do TSE e também não impedia que a 
STI, se chamada, prestasse assessoria às Comissões. 
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As sugestões recebidas pelo TSE foram então submetidas ao parecer da STI, in¬ 
clusive a sugestão de excluir a própria STI do controle dos testes. 

A STI deu parecer contrário à sua exclusão da comissão reguladora sem respon¬ 
der diretamente ao argumento dos proponentes, alegando genericamente que tal co¬ 
missão "requer o envolvimento direto de pessoas com disponibilidade e vínculo com a 
instituição” (TSE). 

Todas as sugestões da STI foram acatadas pela Corte, inclusive a de se manter a 
STI como regulamentadora e controladora dos testes de segurança. 

Todo esse poder de influência da STI sobre as "regras do jogo", mesmo em situa¬ 
ções que caracterizem conflito de interesses, como quando seu desempenho está sob 
avaliação, acabaram por interferir no livre andamento da Auditoria, uma vez que até 
simples solicitações de acesso a dados chegaram a ser recusadas por pareceres con¬ 
trários da STI, como se detalha adiante. 


4.3.3. Organização Administrativa do Processo Eleitoral 

Toda a atividade administrativa que ocorre dentro da Justiça Eleitoral, inclusive a 
presente Auditoria, é tratada e desenvolvida internamente nos mesmos moldes for¬ 
mais e burocráticos característicos de um processo judicial, com uma petição inicial e 
condução do processo por um Ministro Relator, que apresentará relatórios e votos para 
orientar a votação dos demais ministros. Como a função judicante é a principal e é a 
especialidade dos Ministros da Corte, a função administrativa costuma ser em parte 
delegada aos escalões administrativos do Tribunal. 

Com isso, no caso de assuntos de natureza tecnológica, os mesmos funcionários 
do TSE que assessoram tecnicamente o Ministro na sua função de administrador elei¬ 
toral, 0 assessoram também quando na função de juiz. 

Esta ordenação por vezes causa conflito de interesses, por exemplo, em deman¬ 
das de terceiros que abordem o trabalho ou contestem pareceres da STI, pois, comu- 
mente, o iuiz toma o parecer da própria STI como a de um assessor seu e não como de 

uma parte na demanda . Exemplo desse conflito é descrito com mais detalhes adiante. 

A submissão da presente Auditoria aos ritos e procedimentos administrativos co¬ 
muns em processo judicial, levou a um forte formalismo burocrático que provocou 
efeitos negativos ao andamento da Auditoria, descritos a seguir: 
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a) Lentidão na Auditoria - afetando negativamente a própria eficácia da Auditoria, 
devido ao trâmite formal ineficiente - por. ex.: simples diferenças de nomenclatu¬ 
ra usada entre as partes (auditores e auditados) geravam dúvidas e erros de in¬ 
terpretação de pedidos que, em vez de serem esclarecidos rapidamente em uma 
conversa ou reunião, demandavam uma longa e lenta sequência de atos for¬ 
mais, como a protocolização de nova petição, recebimento, avaliação e encami¬ 
nhamento pelo Ministro Relator, elaboração de parecer pelo corpo técnico, volta 
do processo ao relator para voto e julgamento em seção administrativa pelo ple¬ 
nário do Tribunal - e nem sempre a dúvida ficava totalmente esclarecida, levando 
a repetição de procedimentos. Ilustra esse problema o caso em que os auditores 
constataram, no primeiro dos dez dias abertos para análise do software, que a 
STI não havia disponibilizado os programas executáveis; foi então necessário fa¬ 
zer uma nova petição ao Ministro Relator (que estava ausente em viagem). A pe¬ 
tição foi negada no oitavo dia, quando, mesmo se aceita, não haveria tempo há¬ 
bil para sua implementação; 

b) Quebra da isenção do julgador - embora seja adotado um rito formal de carac¬ 
terística de processo judicial, a relação triangular normal (um polo ativo, um polo 
passivo e um julgador independente), que é um princípio basilar nesse tipo de 
processo, não foi respeitada nesta Auditoria, pois o polo ativo é o Partido requisi¬ 
tante (PSDB), o polo passivo é o administrador eleitoral responsável pelo pro¬ 
cesso sob auditoria - tanto no nível operacional (STI) como no nível decisório 
(Pleno do TSE) - e o ente julgador é também o próprio corpo diretivo do TSE, 
que conta com assessoria direta da STI, quebrando sua isenção, uma vez que 

ocupa, a um só tempo, o polo passivo e o de julgador ; 

c) Auditoria comandada, na prática, pelo auditados - essa quebra da isenção 

no momento de decidir a sequência da auditoria resultou em um sistemático pre- 
valecimento das posições e decisões do ente auditado (STI/TSE) sobre qualquer 
vontade de atuação dos auditores do PSDB, fazendo com que os caminhos da 
auditoria fossem escolhidos, dirigidos e limitados pelos auditados, usurpando 
função e prerrogativa nativa dos auditores. 

Todas as sugestões e restrições da STI/TSE, contrárias às solicitações do PSDB, 
foram acatadas pelo corpo decisório do TSE, impedindo a livre atuação dos auditores. 
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Tal forma de "auditoria comandada peios auditados" não se enquadra entre três 
tipos de auditoria de sistemas de informação reconhecidos e padronizados pela ISA- 
CA^T (a) avaliação simples {Review)-, (b) auditoria profunda (Examination)-, e (c) audi¬ 
toria de procedimentos acordados {Agreed-upon Procedures Engagement)^^. 

Como exemplo do controle exercido pelo auditados sobre como podem ou não 
podem atuar os auditores, tem-se: 

a) Termo de Confidencialidade e Plano de Trabalho - Foi exigida a assinatura 
prévia de um Termo de Confidencialidade e a apresentação de um plano de tra¬ 
balho. Esta imposição, somada ao rito burocrático adotado, resultou na demora 
de dois meses para a entrega dos dados solicitados inicialmente (a entrega ocor¬ 
reu no dia 12/01/2015), embora a regulamentação criada pelo próprio TSE esta¬ 
belece que dados digitais, como RDB, BU e LOG das urnas e de totalização se¬ 
jam disponibilizados, sem restrições, em apenas três dias depois de solicitado 
pelos partidos (art. 209 da Res. TSE 23.999/2013) e os logs do Sistema de Ge¬ 
ração de Mídias em apenas dois dias (art. 62, § 5° Res. TSE 23.999/2013); 

b) Rigor e Complacência Assimétricos - enquanto o polo passivo (auditados) 

conta com a complacência na interpretação das regras e dos prazos legais 
quando deixa de cumprir os procedimentos regulares (como a entrega completa 
dos dados das urnas em 3 (três) dias ou a disponibilização dos códigos executá¬ 
veis), ao polo ativo (auditores) é exigido todo o rigor e são impostos prazos le¬ 
gais e extralegais. Por ex.; o pedido de acesso aos arquivos de log do Sistema 
de Geração de Mídias, que é aberto aos Partidos quando solicitado até o dia 
13/01/2015 (art. 62, § 5° Res. TSE 23.999), foi negado por alegada 'preclusâo' 
apenas porque não constava expressamente na petição inicial, mesmo tendo 

sido apresentada em uma petição complementar posterior, no dia 12/11/2014; 

c) Inversão da Ordem Natural de Auditoria - os auditores queriam receber os da¬ 
dos digitais completos de todas as seções eleitorais para, naturalmente, avaliá- 
los antes de decidir quais passariam por uma análise mais minuciosa; entretan¬ 
to, prevaleceu a sugestão da STI de que os auditores deveriam definir com ante- 

57 ISACA - Information Systems Audit and Control Association (Associação de Auditoria e Controle de Sistemas de 
Informação): é uma organização sem fins lucrativos, independente e internacional qne regnlamenta os papéis de 
profissionais do mundo inteiro quanto aos aspectos de governança, segurança, anditoria de sistemas de informação - 
http://www.isaca.org 

58 ISACA. Information Systems Auditing: Tools and Techniques - IS Audit Reporting. Professional Practices Report 
2015, pp. 10-11. - http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/information-sys- 
tems-auditing-tools-and-techniques. aspx 
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cedência as seções onde a auditoria teria continuidade, antes mesmo de terem 
recebidos os dados completos, sob o argumento que as urnas deveriam passar 
por procedimentos de manutenção. 

A exigência de se apresentar previamente um 'plano de trabalho' a ser cumprido 
também pode ser considerada descabida, visto que os caminhos a serem tomados em 
uma auditoria são, em muito, ditados pelo próprio andamento das investigações reali¬ 
zadas. Entretanto, a autoridade eleitoral revelou grande inflexibilidade quando exigiu 
cumprimento estrito de planos de trabalhos prévios, como no caso da recusa em for¬ 
necer os arquivos de log do Gerador de Mídias e na recusa de permitir a recompilação 
dos códigos-fonte, porque não constavam da petição ou do plano de trabalho inicial. 


4.3.4. Petições Negadas e Justificativas 


Lista-se, abaixo, a relação dos pedidos de acesso a dados ou a procedimentos de 
auditoria que foram rejeitados e as respectivas justificativas apresentadas: 


Pedido de acesso ou de Procedimentos 

Restrições e Justificativas da Negação 

Acesso aos arquivos de eleitores aptos, 
de faltosos e de justificativas, para ava¬ 
liar as denúncias de "eleitores fantas¬ 
mas" - itens 2.(b) e 2.(c). 

Negado sob o argumento de não haver pre¬ 
visão nas Resoluções 23.397/2013 e 
23.399/2013, do próprio TSE. 

Acesso aos arquivos de LOG do sistema 
Gerador de Mídias (GEDAI) como previs¬ 
to no art. 62, § 5^ Res. TSE 

23.999/2013. 

Negado "por preclusão", embora o pedido 
tenha sido apresentado em 13/11/2014 e o 
prazo de disponibilidade desses dados se 
esgotasse apenas em 13/01/2015 (art. 62, § 
5^ Res. TSE 23.999/2013®°). 

Acesso aos 'arquivos de log referentes 
ao sistema de totalização' como previs¬ 
to no art. 209 da Res. TSE 
23.999/2013®°. 

Negado porque tais arquivos não existiriam 
de fato com tal designação. Foi concedido 
prazo de 48h para o solicitante detalhar as 
informações pretendidas relativas aos Siste- 


59 Resolução 23.399/2013, artigo 62, § 5°: Os arquivos log referentes ao Sistema Gerenciador de Dados, Aplicativos e 
Interface com a urna eletrônica somente poderão ser solicitados pelos partidos políticos, coligações. Ministério Pú¬ 
blico e Ordem dos Advogados do Brasil à autoridade responsável pela geração das mídias nos locais de sua utiliza¬ 
ção até 13 de janeiro de 2015. 

60 Resolução 23.399/2013, artigo 209: Após a conclusão dos trabalhos de totalização e transmissão dos arquivos de 
log das urnas, os partidos políticos e coligações poderão solicitar aos Tribunais Eleitorais, até 13 de janeiro de 2015, 
cópias desses arquivos, dos espelhos de boletins de urna, dos arquivos de log referentes ao sistema de totalização e 
dos Registros Digitais dos Votos. § 1° O pedido de que trata o caput deste artigo deverá ser atendido no prazo máxi¬ 
mo de 3 dias. § 2° Os arquivos deverão ser fornecidos em sua forma original, mediante cópia, não submetida a tra¬ 
tamento. 
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Pedido de acesso ou de Procedimentos 

Restrições e Justificativas da Negação 


ma de Autenticação de Usuários, Sistema 
de Preparação, Sistema de Gerenciamento 
e dos equipamentos servidores. 

0 prazo é exíguo para uma tarefa que se 
desconhece a priori, já que nenhuma expli¬ 
cação de como se relacionam esses siste¬ 
mas foi fornecida. 

Instalação de mais ferramentas de auxí¬ 
lio à análise de códigos (Visual Studio e 
Editores Hexadecimais) nos computado¬ 
res disponibilizados (ped.2 e 8). 

Os Editores Hexadecimais foram instalados 
sem restrições, mas o Visual Studio foi ne¬ 
gado porque "não constava do pedido inici¬ 
al" e a STl não entende que ele seja neces¬ 
sário. 

Acesso à documentação completa rela- 
tiva ao projeto de desenvolvimento de 
software de cada sistema ou aplicativo 
utilizado nas urnas eletrônicas, confor¬ 
me faculta os §1^ do art. 66 da Lei 
9.504/97®^ e o art. 3^ da Res. 
23.397/2013®^ (ped.3 e 9). 

Negado, contrariando a própria resolução 
do TSE, porque a STl entende que a docu¬ 
mentação do desenvolvimento do software 
faz parte do software mas não do código- 
fonte (!?). 

Especificação dos requisitos previstos 
de segurança ou salvaguardas, bem 
como a relação das normas técnicas se¬ 
guidas no desenvolvimento dos siste¬ 
mas e software eleitoral (ped.4 e 10). 

Negado pela Corte seguindo recomendação 
da STl. a qual aleoou que "por auestôes de 
siaiio. 0 pedido não deve ser deferido" 

Acesso à documentação e ao fonte do 
software embarcado (firmware^^) na 
BIOS e no circuito de segurança MSD 
(ped.l4, 15 e 27). 

Negado porque a STl entende que firmware 
é parte do hardware e não do software (!?). 
Também foi negado por não constar expres¬ 
samente na petição inicial. 

Permissão para fazer uma recompilação 
dos códigos-fonte, para verificar se os 
binários presentes nas urnas usadas na 
eleição derivam desses fontes, sem 
adulteração (ped.20 e 41). 

Negado em decisão do Ministro Dias Tófolli, 
por não constar explicitamente da petição 
inicial. 


61 Lei 9.504/1997, artigo 66, § 1°: Todos os programas de computador de propriedade do Tribunal Superior Eleitoral, 
desenvolvidos por ele ou sob sua encomenda, utilizados nas urnas eletrônicas para os processos de votação, apura¬ 
ção e totalização, poderão ter suas fases de especificação e de desenvolvimento acompanhadas por técnicos indica¬ 
dos pelos partidos políticos. Ordem dos Advogados do Brasil e Ministério Público, até seis meses antes das elei¬ 
ções. 

62 Resolução 23.397/2013, artigo 3°: Art. 3“ Os partidos políticos, a Ordem dos Advogados do Brasil e o Ministério 
Público, a partir de 6 meses antes do primeiro turno das eleições, poderão acompanhar as fases de especificação e 
de desenvolvimento dos sistemas, por representantes formalmente indicados e qualificados perante a Secretaria de 
Tecnologia da Informação (STl) do Tribunal Superior Eleitoral. 

63 Firmware - em tradução livre da definição da PC Magazine: “firm software”, ou instruções de software residentes 
em chips de memória não volátil. Visto em: http://www.pcmag.com/encyclopedia/term/43223/firmware 
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Pedido de acesso ou de Procedimentos 

Restrições e Justificativas da Negação 

Acesso aos códigos executáveis (binári¬ 
os) das urnas, conforme facultam os §1^ 
e §2^®*^ do art. 66 da Lei 9.504/97 e o 
art. 5^ da Res. TSE 23.397/2013®®, para 
verificar sua integridade e conformida¬ 
de com os códigos-fonte (ped.33). 

Negado porque, segundo a STI, a Res. 
23.397/2013 não se aplicaria nesse caso 
pois "os artigos citados fazem menção a 
um período que se encerra com a assinatu¬ 
ra digitai e iacração dos sistemas eieitorais" 
e por decisão da Presidência do Tribunal 
(procedimentos que extrapolassem a sim¬ 
ples análise de código-fonte deveriam ser 
precedidos de aprovação prévia). 

Acesso ao código compilado (executá¬ 
vel) desenvolvido pela ABIN/CEPESC 
para verificar sua conformidade com o 
respectivo código-fonte, uma vez que 
este não se encontrava no DVD lacrado 
na cerimônia de 04 de setembro de 
2014. 

Negado em decisão do Ministro Dias Tófolli 
por não constar expressamente no pedido 
inicial (que, obviamente, tinha sido feito an¬ 
tes de se poder verificar a ausência dos fon¬ 
tes da ABIN no DVD lacrado). 


Pode-se ver que as justificativas do TSE e da STI para obstruir atividades da audi¬ 
toria impedem o pleno exercício das atividades de auditagem. 

É importante destacar que, embora tenham aceitado trabalhar sob tais restrições 
estabelecidas pelos auditados, os auditores entendem que, em uma auditoria forense 
normal, não competiria aos administradores eleitorais (i.e., os auditados) decidir que 
procedimentos de auditoria se deve ou se pode desenvolver. 


4.4.Análise dos Dados Disponibilizados 

A seguir são analisados os dados que foram possíveis de obter ao longo da audi¬ 
toria e as consequências negativas sobre a Auditoria pelas restrições impostas. 

A análise é apresentada na mesma ordem de itens do PTI: coleta de dados, audi¬ 
toria da apuração, auditoria da totalização e denúncias específicas. 


64 Lei 9.504/1997, artigo 66, § 2°: Uma vez concluídos os programas a que se refere o § lo, serão eles apresentados, 
para análise, aos representantes credenciados dos partidos políticos e coligações, até vinte dias antes das eleições, 
nas dependências do Tribunal Superior Eleitoral, na forma de programas-fonte e de programas executáveis, inclusi¬ 
ve os sistemas aplicativo e de segurança e as bibliotecas especiais, sendo que as chaves eletrônicas privadas e se¬ 
nhas eletrônicas de acesso manter-se-ão no sigilo da Justiça Eleitoral. Após a apresentação e conferência, serão la¬ 
cradas cópias dos programas-fonte e dos programas compilados. 

65 Resolução 23.397/2013, artigo 5°: Os programas utilizados nas eleições serão apresentados para análise na forma de 
programas-fonte e programas-executáveis, enquanto as chaves privadas e as senhas de acesso serão mantidas em si¬ 
gilo pela Justiça Eleitoral. 
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4.4.1. 


Coleta de Dados - Item 1 do PTI 


0 pedido de auditoria foi aprovado, com restrições definidas nas Resoluções 
23.397 e 23.999/2013 do TSE, no dia 04/11/2014. Nenhum procedimento de auditoria 
forense foi autorizado além dos que já constassem nas resoluções citadas, mesmo que 
os auditores entendessem necessário. 

Outra restrição foi a falta de flexibilidade para o peticionário complementar e/ou 
especificar o contido na petição inicial. Nos dias 12 e 13/11/2014, o PSDB apresentou 
quatro requerimentos complementares à petição inicial, detalhando os dados que pre¬ 
tendia receber para auditoria. Porém, parte desses pedidos foi negada, e a negativa 
mantida até o final dos trabalhos, por não constarem da petição inicial, alegando-se 
'preclusão'. 

Os dados solicitados na inicial (30/11/2014) foram entregues, incompletos, no dia 
12/01/2015, somente depois de assinado o Termo de Confidencialidade, embora as re¬ 
soluções do TSE que liberam o acesso desses dados aos Partidos estabeleçam prazo 
bem mais curtos e não façam qualquer menção à necessidade de confidencialidade. 

Prolongou-se até 26/01/2015 o prazo para o Partido apresentar uma lista de cida¬ 
des cujas urnas deveriam ser preservadas para análise futura. 

O volume dos dados entregues era grande, totalizando: 

• 27 Gigabyte em um arquivo compactado; 

• 360 Gb depois de descompactados; 

• mais de 2,1 milhões de arquivos de dados (BU, RDV, LOG, etc.); 

• mais de 2 bilhões de registros de LOG a serem processados e analisados; 

• 1 Terabyte de memória necessária durante o processamento. 

Foram necessários mais de 7 (sete) dias de processamento computacional ape¬ 
nas para descompactar e preparar esses dados todos em Bancos de Dados (relacional 
e não-relacional) para, só então, poder se iniciar o estudo do seu conteúdo. 

Nesse instante, verificou-se que nos dados fornecidos não constavam: 

a) os arquivos de Justificativas, de Eleitores Aptos e de Faltosos; 

b) os arquivos de LOG do Sistema Gerador de Mídias (GM); 

c) os arquivos de LOG do Sistema de Totalização (no seu lugar foram fornecidas 

tabelas sem todos os eventos anotados); 

d) 2279 arquivos de LOG de urna em formato .txt, e 2278 arquivos de LOG binári¬ 
os, a grande maioria deles do Estado de São Paulo. 
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Tais faltas levaram a nova petição do PSDB, apresentada no dia 21/01/2015, que 
foi julgada em 05/02/2015 e negada em sua maior parte após manifestação da STI. A 
nova decisão estabeleceu: 

a) Os arquivos de Justificativas, Eleitores Aptos e Faltosos não seriam fornecidos 

porque não há previsão para tanto nas Resoluções do próprio TSE; 

b) Os arquivos de LOG do GM não seriam fornecidos por preclusão, embora o pe¬ 
dido tenha sido apresentado em 13/11/2014 e o prazo de disponibilidade se es¬ 
gotasse apenas em 13/01/2015 (art. 62, § 5° da Res. 23.999); 

c) Embora previstos no art. 209 da Res. TSE 23.999/2013“ (com a designação de: 

'arquivos de log referentes ao sistema de totalização'), os arquivos de LOG da 
Totalização não foram fornecidos porque, segundo a STI, tais arquivos não exis¬ 
tiriam de fato com tal designação, devendo o solicitante detalhar em 48h que in¬ 
formações desejaria receber relativos aos Sistema de Autenticação de Usuários, 
Sistema de Preparação, Sistema de Gerenciamento e dos equipamentos servi¬ 
dores (Jboss). O prazo é exíguo para uma tarefa que se desconhece a priori, já 
que nenhuma explicação detalhada de como se relacionam esses sistemas com 
a totalização foi fornecida; 

d) Os arquivos faltantes dos LOG de urnas deveriam ser obtidos diretamente nos 
Cartórios que, alegadamente, não os teriam transmitido ã STI. 

A explicação sobre o não envio dos "arquivos faltantes" carece de credibilidade 
uma vez que os demais arquivos que acompanham os LOG das urnas, como RDV e Es¬ 
pelhos de BU, foram transmitidos regularmente e entregues. 

Diante do impasse sobre a dificuldade de se obter os dados completos foi realiza¬ 
da uma reunião no dia 23.02.2015, nas dependências do TSE, que teve uma pauta de¬ 
finida nos termos do Ofício 612 da STI/TSE. 

Estiveram presentes nessa reunião dois Ministros representando a Corte do TSE 
(inclusive o Corregedor), um representante do MPF, um representante da OAB e um re¬ 
presentante técnico do TRE-DF. 


66 Resolução 23.999, artigo 209: Após a conclusão dos trabalhos de totalização e transmissão dos arquivos de log das 
urnas, os partidos políticos e coligações poderão solicitar aos Tribunais Eleitorais, até 13 de janeiro de 2015, cópias 
desses arquivos, dos espelhos de boletins de urna, dos arquivos de log referentes ao sistema de totalização e dos Re¬ 
gistros Digitais dos Votos. 

§ 1° O pedido de que trata o caput deste artigo deverá ser atendido no prazo máximo de 3 dias. 

§ 2° Os arquivos deverão ser fornecidos em sua forma original, mediante cópia, não submetida a tratamento. 
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Ainda, pelo corpo administrativo e técnico do TSE, participaram a Diretora Geral 
do TSE, 0 Secretário de TI do TSE, um grande contingente de chefes de setores (como 
ASPLAN, SEVIN, CLOGI e outros) e de técnicos da STI, e, ainda, dois técnicos do CE- 
PESC (ABIN) e dois técnicos da empresa Módulo. 

Pelo lado do PSDB estiveram presentes os advogados Flávio Pereira e Gustavo 
Kanffer e os técnicos Giuiiano Giova, Amilcar Brunazo Filho e Marco Carvalho. 

Nessa reunião foram estabelecidos os procedimentos de coleta, nos TRE's, de da¬ 
dos das urnas selecionadas e foram feitas cópias do conteúdo do DVD lacrado no dia 
04.09.2014 em cerimônia oficial no TSE e que continha (ou deveria conter) todo o 
software, fonte e executáveis, do sistema eleitoral informatizado, para posterior análi¬ 
se pelos auditores. 

Posteriormente, nos TRE's foram coletados os dados de urnas escolhidas pelo 
PSDB, os dados do Teste de Votação Paralela e os dados do Sistema Transportador. 

A coleta de dados das urnas não foi permitida por cópia direta do conteúdo das 
mídias, mas sim de forma indireta, com a utilização dos programas RED e VPP das pró¬ 
prias urnas, que geraram novas mídias com os arquivos de LOG, BU e RDV e imprimi¬ 
ram cópias do BU, da lista de resumos criptográficos {hash) dos cartões de memória 
interno (Fl) e externo (FE) e da lista de justificativas. 

O impedimento, pelo TSE, de se obter os dados pela leitura direta das mídias de 

memória das urnas criou uma grave lacuna na auditoria , afastando-a em termos de 
qualidade e de confiabilidade de uma auditoria forense: afinal, como os dados forneci¬ 
dos são gerados pelo próprio software que se deseja auditar, sua confiabilidade para 
tal fim fica totalmente comprometida. 

Também foram tiradas fotos dos lacres das urnas e das Listas de Votação (com as 
assinaturas dos eleitores) e filmadas a tela das urnas durante o processo de inicializa¬ 
ção iboot) dos programas RED e VPP. 

Dos Testes de Votação Paralela foram copiados os arquivos de LOG, BU e RDV de 
cada urna testada e tiradas cópias das atas da cerimônia, do Relatório do Sistema de 
Conferência dos Resultados e do relatório de auditoria da empresa Maciel. 

Os aparentemente equivalentes aos 'arquivos de log referentes ao sistema de to- 
taiização' previstos no Art. 209 da Res. TSE 23.999/2013, seriam extraídos dos arqui¬ 
vos do Sistema Transportador ou JE-Connect. 


p. 75 de 217 




Os trabalhos de coleta de dados nos TRE's se iniciaram no DF em 02.03.2015, 
onde se testaram os procedimentos definidos na reunião anterior, até o dia 
22.05.2015, quando se encerraram as coletas nos TRE-PA e TRE-RJ. 

Ao todo foram coletados dados de 684 urnas nos TRE's de 18 estados, a saber: 
Acre, Alagoas, Amazonas, Bahia, Ceará, Distrito Federal, Goiás, Maranhão, Minas Ge¬ 
rais, Paraíba, Pará, Paraná, Pernambuco, Piauí, Rio de Janeiro, Rio Grande do Norte, 

São Paulo. 

Não foram coletados os dados nos estados seguintes: Amapá, Espírito Santo, 

Mato Grosso, Mato Grosso do Sul, Rondônia, Roraima, Rio Grande do Sul, Santa Catari¬ 
na, Sergipe, Tocantins e das Embaixadas no exterior. 

A quantidade de equipamentos passíveis de auditoria (universo de mais de 420 
mil) e sua dispersão geográfica por todo o território brasileiro, criam, naturalmente, 
obstáculos de natureza econômica e logística à Auditoria. Porém, entende-se que o im¬ 
pedimento de acesso direto às mídias de memória, para se obter cópia de seus dados, 
foi um grave obstáculo adicional. 


4.4.2. Auditoria da Apuração, via Software - Item 2 do PTI 

Uma auditoria da apuração em sistema eleitoral eletrônico do tipo DRE sem VV- 
PAT depende totalmente de uma profunda e completa análise de validação e de certifi¬ 
cação do software embarcado nos equipamentos de votação e de apuração - as urnas 
eletrônicas - uma vez que não se produz uma trilha documental para auditoria contábil 
que permita a recontagem dos votos como vistos e confirmados pelo eleitor. 

A sugestão do Ministro Flenrique Neves, apresentada durante o julgamento do 
pedido inicial, para se fazer uma auditoria contábil da apuração pela impressão dos ar¬ 
quivos RDV de cada urna e contagem desses "votos impressos", carece de eficácia por 
sua redundância , pois os números gravados nos arquivos RDV não puderam ser vistos 
e confirmados pelo eleitor no momento da votação. Em termos simples, seria o mes¬ 
mo que querer certificar a veracidade de um documento, meramente comparando-o 
com uma fotocópia do próprio documento. 

Uma contagem desse tipo só acrescentaria custos e riscos de erros humanos à 
Auditoria, sem propiciar qualquer garantia de que os arquivos RDV estivessem ínte¬ 
gros. 
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Estabeleceu-se que a análise do software eleitoral seria feita ao longo de 10 dias 
úteis, nas dependências do TSE, sobre os arquivos extraídos do DVD lacrado antes da 
eleição®^ 

A auditoria da apuração, o PTI previa doze tarefas. No entanto, a auditoria por va¬ 
lidação do software eleitoral teve seu resultado totalmente prejudicado pelas restri¬ 
ções impostas ao trabalho dos auditores. Mais precisamente, dez das tarefas previstas 
no PTI não puderam ser concluídas a contento e as restantes (avaliação dos lacres e 
da Votação Paralela) revelaram impropriedades, como se descreve a seguir. 

4.4.2.1. Quantidade de Votos Gravados 

Atividade prevista no PTI: verificar as consistências internas entre a quantidade 
de votos gravados nos diversos arquivos de controle de cada urna (RDV, BU, LOG, Elei¬ 
tores Aptos e Faltosos). 

A verificação da consistência interna na quantidade de votos digitais gravados 
nos diversos arquivos de controle de cada urna tem por finalidade detectar eventual 
mau funcionamento do software ou, ainda, detectar fraudes grosseiras no software 
embarcado que alterem o resultado no arquivo de BU sem alterar os demais. 

A cada vez que um eleitor confirma o seu voto final, três procedimentos são de¬ 
senvolvidos pelo software da urna: inclui-se uma cópia do voto no arquivo RDV, 
marca-se o nome do eleitor como já tendo votado e registra-se o evento "voto compu¬ 
tado" no arquivo de LOG. Ao final da votação os votos do RDV são contados e registra¬ 
dos no arquivo de BU. 

Dessa forma, para se verificar o funcionamento coerente do software durante a 
votação e a apuração, deve-se analisar a coerência dos registros nos seguintes quatro 
arquivos disponíveis nas urnas, de onde se pode obter o total de votos confirmados 
(votos válidos + brancos + nulos = comparecimento): 

a) RDV - contém o registro digital de cada voto confirmado; 

b) LOG - registra a hora e data de cada voto confirmado; 

c) BU - registra os totais de eleitores aptos, de comparecimento e de votos válidos, bran¬ 
cos e nulos; 

d) Faltosos - indica a quantidade de eleitores que não votaram, permitindo determinar o 
comparecimento por diferença com os eleitores aptos. 


67 Foram disponibilizados para análise quase 50 mil arquivos contendo mais de 17 milhões de linhas de código-fonte. 
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A autoridade eleitoral recusou-se a fornecer os arquivos de eleitores faltosos, ale¬ 
gando que isso não estava previsto na sua própria Resolução 23.397/2013, adotada 
como normativa dos trabalhos da auditoria, conforme anteriormente discutido. 

A comparação dos totais de votos computados registrados nos demais arquivos 
não constatou incoerências significativas®®. 

Considera-se incompleta essa etapa da auditoria do software das urnas, por não 
ter sido permitido comparar os dados de todos os arquivos disponíveis, mas apenas 
dos arquivos escolhidos pelos auditados. 


4.4.2.2. Requisitos de Segurança, Saivaguardas e Normas Técnicas 


Atividade prevista no PTI: avaiiar toda a impiementaçâo do sistema 
(hardware e software), para verificar se os requisitos de segurança do projeto, 
as saivaguardas anunciadas e as normas técnicas adotadas foram atendidas 


Esta tarefa de auditoria tem por objetivo verificar a conformidade do projeto com¬ 
pleto das urnas {hardware e software) com as normas técnicas e boas práticas aplicá¬ 
veis e com as próprias especificações de segurança, podendo servir como um forte in¬ 
dicativo da qualidade, da confiabilidade e da segurança do sistema para os interessa¬ 
dos externos, como os eleitores e os candidatos. 

Em toda a propaganda institucional do seu sistema eleitoral eletrônico, oTSE uti¬ 
liza com frequência a expressão "Saivaguardas do Sistema" como garantia da confia¬ 
bilidade; porém, na página oficial do TSE só se encontram referências informais e in¬ 
completas sobre quais seriam tais salvaguardas. 

Para obter uma descrição oficial e completa das informações necessárias, os au¬ 
ditores solicitaram o seguinte: 

(ped.4) Soiicitamos o fornecimento de uma descrição com- 
pieta e detaihada das Saivaguardas de Segurança apiicáveis 
ao uso do hardware e do software do Sistema Eieitorai Infor¬ 
matizado do TSE. 

68 Em apenas 60 urnas (12 biométricas e 48 comuns) foram detectadas pequenas divergências que podiam ser explica¬ 
das por virem de urnas de contingência nas quais os arquivos de log apresentavam diferente formatação. 


p. 78 de 217 




Solicitamos, ainda, que tal descrição inclua uma relação das 
Normas Técnicas e padrões internacionais relacionados, utili¬ 
zados no projeto do Sistema Eleitoral Informatizado, inclusi¬ 
ve relativos à Segurança de Dados e ao Desenvolvimento de 
Software. 

(ped.lO - de reiteração do ped.4) ... Para que possamos veri¬ 
ficar se o código-fonte apresentado atende os requisitos ini¬ 
ciais do projeto é necessário no mínimo saber quais são tais 
requisitos, como as salvaguardas de segurança pretendidas 
e as normas técnicas que regulamentam tais metas. 

Para surpresa dos auditores, a autoridade eleitoral recusou-se a fornecer uma 
descrição formal e completa de quais seriam os requisitos de segurança e as normas 
técnicas que segue no projeto do sistema eleitoral. 

O motivo alegado pelo Presidente do TSE para essa negativa foi dado em sua de¬ 
cisão de 19 de março de 2015, quando alegou "questões de sigilo" conforme parecer 
técnico da STI que tem o seguinte teor: 

Informação n^ 51 - ASPLAN/STI de 17 de março de 2015 - 
pág. 7 

Considerando serem as salvaguardas os aspectos de preven¬ 
ção e segurança dos sistemas eleitorais, esta STI entende 
que, por questões de sigilo, o pedido não deve ser atendido. 


Considera-se esta tarefa da Auditoria 100% prejudicada pela surpreendente recu¬ 
sa da autoridade eleitoral de fornecer uma relação dos requisitos de segurança e das 
normas técnicas que adotou no projeto e desenvolvimento do seu sistema eleitoral in¬ 

formatizado . 

Consequentemente, não foi possível afastar as hipóteses de que, de fato: 

a) a autoridade eleitoral não possui uma relação formal de requisitos de segu¬ 
rança no projeto das urnas eletrônicas; 

b) o sistema eleitoral eletrônico brasileiro não está em conformidade com qual¬ 
quer norma técnica reconhecida de projeto e de segurança . 
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4.4.2.3. 


Certificação Digitai 


Atividade prevista no PTI: avaiiar o sistema de certificação digitai usado na as¬ 
sinatura digitai dos sistemas eieitorais, quanto a sua conformidade com o pa¬ 
drão ICP-Brasii 


Embora a autoridade eleitoral tenha recusado informar quais seriam as salva¬ 
guardas do sistema eleitoral informatizado, depreende-se do apresentado na página 
oficial do TSE que a assinatura digital do software e sua verificação são etapas cruciais 
na segurança das urnas eletrônicas. 

Toda a validação de segurança passa pelo ato de assinatura e se completa na ve¬ 
rificação das assinaturas digitais. 

Para aplicar o conceito de assinatura e de certificados digital, o TSE optou por cri¬ 
ar sua própria autoridade certificadora que não passa por qualquer auditoria externa e 
pela certificação oficial que o padrão legal e oficial ICP-Brasii exige, como confirma a 
resposta ao Pedido de Esclarecimento 29, nos seguintes termos: 

O TSE é a primeira autoridade de certificação. Não há certifi¬ 
cação externa dos certificados utiiizados peio TSE 

Sendo assim, o certificado raiz, bem como todos os demais certificados utilizados 
no processo eleitoral, são gerados pelo próprio TSE e resultam no seguinte: 

a) Não existe algum certificado de um terceiro confiável que possa ser utilizado 
para validar os certificados da certificadora do TSE. Ou seja, ninguém, exter¬ 
no ao grupo dos executores das eleições, tem como certificar se houve algu¬ 
ma fraude ou problema com algum certificado utilizado pelo TSE nas eleições; 

b) O certificado raiz não é público para ser conferido ou usado na conferência, 

das assinaturas digitais feitas; 

c) As chaves públicas utilizadas não são realmente públicas e não podem ser 
conferidas; 

d) As medidas de segurança para se evitar vários possíveis problemas ou frau¬ 
des não podem ser auditadas pelos partidos e ou fiscais; 

e) Para ter alguma validade em uma perícia forense, o "carimbo de tempo” {time 

stamp^^) tem que ser obtido de algum sistema servidor externamente certifica¬ 
do, o que não é viável de ser feito dentro do sistema do TSE, uma vez que 


69 Time stamp: comprovação do horário em uma assinatura digital foi feita 
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não há como determinar que há um terceiro para garantir que o horário e o 
certificado estão corretos; 

f) O CEPESC tem participação nesta certificadora, mas não ficou claro qual é 
esta participação. 

É muito importante o uso de carimbo de tempo externamente certificado na assi¬ 
natura digital dos componentes de software e de dados. É através dele que um audi¬ 
tor externo poderia verificar se a data e a hora reais da assinatura do software eleito¬ 
ral ocorreram efetivamente durante a cerimônia oficial de compilação dos programas. 

Existem vários tipos de quebra de segurança que podem ocorrer durante a gera¬ 
ção e utilização de certificados e das chaves privadas associadas. Como, por exemplo: 

a) Chaves fracas - passíveis de serem quebradas com pouco esforço computa¬ 
cional; 

b) Vazamento de chaves privadas; 

Troca do certificado raiz - o que pode permitir que uma falsa assinatura 
seja avaliada como correta; 

c) Cópia de uma chave privada em mais de uma mídia; 

d) Clonagem da mídia com a chave privada; 

e) Fraude no ambiente - quando se está utilizando uma chave privada para se 
fazer uma assinatura; 

f) Mal-uso de uma chave privada pelo responsável por guardá-la. 

Estes tipos de possíveis problemas não podem ser 100% evitados. A melhor ma¬ 
neira de minimizar a ocorrência de problemas é através da transparência, fiscalização 
e auditoria externas. Entretanto, a verificação desses três importantes aspectos não 
foi permitida pelo TSE, nas eleições 2014, em relação à certificação digital que desen¬ 
volve e utiliza. 

Também é de vital importância que as assinaturas digitais possam ser verificadas 
em equipamentos que não sejam computadores ou urnas eletrônicas do TSE. Isto é, o 
fiscal ou auditor externo deve utilizar um equipamento seu e não deve ser obrigado a 
aceitar, como confiável, um equipamento sobre o qual ele não tem controle. Porém, a 
autoridade eleitoral não permite que qualquer verificação de assinaturas seja feita em 
um computador de confiança do auditor. 

Conclui-se que a certificação digital, componente fundamental na segurança do 
processo eleitoral informatizado, não se apresenta em conformidade com o padrão ofi¬ 
cial ICP-Brasil . restando apenas a palavra dos próprios operadores como garantia de 
confiabilidade do processo . 
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4.4.2.4. Metodologia e Documentação do Software 


Atividade prevista no PTI: avaiiar a documentação descritiva do desenvoivi- 
mento do software das urnas para determinar o seu grau de maturidade e de 
adequação às técnicas e boas práticas de engenharia de software 


O objetivo da análise da documentação do software é determinar o seu grau de 
conformidade com as boas práticas de Engenharia de Software. A documentação do 
software disponibilizada para análise do código-fonte mostrou-se bastante incompleta, 
0 que dificultou sua análise e compreensão. 

Como consequência, foram apresentados dois pedidos de complementação dos 
dados nos seguintes termos: 

(Petição 03) "Soiicitamos que seja disponibiiizada a docu¬ 
mentação compieta reiativa ao projeto de desenvoivimento 
de software de cada sistema ou apiicativo utiiizado nas ur¬ 
nas eletrônicas e nos demais computadores no processo 
eleitoral, incluindo a documentação descritiva das metodolo¬ 
gias de desenvolvimento de software empregadas." 

(Petição 09) "... informamos que o que está disponível nos 

equipamentos está incompleto ao menos em relação à docu¬ 
mentação dos sistemas da urna eletrônica, faltando a) toda 
a especificação de requisitos de software e b) os diagramas 
de classes, de atividade e de estados de vários sistemas, 
como, por exemplo, o HOTPLUGUE, INITJE, SAVD, SJE, VPP, 
SCAUE (Autenticador) e partes do GAP (020-carrega info Mu¬ 
nicípio e MunZona, ll_Monta_regras e 20_Verifica_Possibili- 
dade) ... Além disso, ela é essencial, necessária e imprescin¬ 
dível para o pleno entendimento do código-fonte propria¬ 
mente dito e para a verificação se tal código de fato imple¬ 
menta os requisitos e salvaguardas alegados pelos técnicos 
que nos tem prestado esclarecimentos verbais. Por exemplo, 
estamos com dúvida no funcionamento de partes do VPP e 
do GAP e a visualização da documentação de alto nível auxi¬ 
liaria a esclarecer tais dúvidas com maior rapidez. 
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No entanto, não houve sucesso em obter os complementos de documentação so¬ 
licitados. Nas respostas da STI, alegou-se tão somente que o pedido da documentação 
extrapolava o pedido inicial de auditoria do software, nos seguintes termos: 

(Resposta à Petição 03) ... Esta Secretaria de Tecnoiogia da 
Informação esciarece que a documentação dos sistemas en¬ 
contra-se disponívei nos equipamentos instaiados e pode ser 
compiementada por meio dos pedidos de esciarecimentos ... 
esta Secretaria não pode atender à soiicitação por meio des¬ 
se instrumento, sendo assim necessário que os pedidos que 
extrapoiem o objeto dos trabaihos sejam feitos por meio de 
Petição protocoiizada e direcionada à Presidência do Tribu- 
nai. 

(Resposta à Petição 09) ... Nesse sentido, como na petição 
de Protocoio TSE 4.455/2015, juntado ao processo judiciai 
Petição 1855-20.2014.6.00.0000, o requerente expressa¬ 
mente soiicitou anáiise de código-fonte, entende-se aue não 
é obieto da anáiise auaiauer documentação associada . Ainda 
assim, a STI/TSE tem fornecido documentação de apoio ao 
entendimento do código-fonte. Grande parte dessa docu¬ 
mentação encontra-se junto ao código-fonte e outras foram 
entregues ao iongo dos trabaihos. 

Por úitimo, numa abordagem mais moderna da discipiina de 
Engenharia de Software, os principais autores reduzem a im¬ 
portância de uma documentação detaihada, em virtude do 
dinamismo na evoiução dos requisitos do software. Na práti¬ 
ca, a única verificação quanto à vaiidade do comportamento 
de um software é a anáiise do seu código-fonte. 


Na auditoria de sistema de software, em busca de vulnerabilidades™ (fraquezas 
que podem ser disparadas acidentalmente ou exploradas intencionalmente), tem-se 
dois propósitos^^: i) auditar a aplicação de software em si; ii) auditar o desenvolvimen¬ 
to da aplicação, incluindo a metodologia usada no seu desenvolvimento. 

70 NIST-RA. “Guide for Conducting RiskAssessments”. USA: NIST Special Publication 800-30 Revision 1, 2012 - 
http://csrc.nist.gOv/publications/drafts/800-30-revl/SP800-30-Revl-ipd.pdf 

71 ISACA, “Information Systems Auditing: Tools and Technigues”. USA: IS Audit Reporting, 2015 - 
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/information-systems-auditing-tools- 
and-techniques.aspx 
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Ao auditar a aplicação de software, deseja-se verificar e avaliar, entre outros po¬ 
tenciais, os seguintes aspectos: segurança no sentido de security (proteção contra 
agentes externos), segurança no sentido de safety (confiabilidade quanto à resposta a 
eventuais falhas), disponibilidade, integridade de dados e de código, armazenamento 
e recuperação de dados, transmissão de dados e disseminação de programas e dados 
nas urnas. Isso, embora com muitas restrições impostas peloTSE, encontra-se apre¬ 
sentado nos outros itens deste relatório. 

Ao auditar o desenvolvimento da aplicação, visou-se dois pontos: (i) a revisão do 
processo de desenvolvimento e das metodologias, políticas e procedimentos emprega¬ 
dos no desenvolvimento dos sistemas de software do TSE; e (ii) o exame do desenvol¬ 
vimento e implementação do aplicativo de software, para verificar a conformidade 
com 0 processo de desenvolvimento adotado e avaliar o sistema final. 

No item (i), buscou-se analisar e avaliar o seguinte: 

a) A adequação da mesma ao tipo de aplicação de software alvo; 

b) O uso de padrões nacionais e internacionais que ajudam a garantir a qualidade 

durante o desenvolvimento do software desenvolvido; 

O uso de padrões nacionais e internacionais que ajudam a garantir aspec¬ 
tos de segurança durante o desenvolvimento do software desenvolvido; 

c) O uso de padrões nacionais e internacionais na auditoria de software de terceiros 

antes de promover a integração desses softwares na aplicação de software de¬ 
senvolvida. 

As aplicações de software que constituem o sistema de votação eletrônica do TSE 
podem ser consideradas partes de um software de missão crítica^T 

Para ajudar a avaliar a adequação da documentação do software do TSE no con¬ 
texto tratado aqui, desmembrou-se a análise das afirmações ou assertivas da STI, da 
seguinte forma: 

4.4.2.4.I. Nào é correto afirmar que a "única verificação quanto à validade 
do comportamento de um software é a análise do seu código-fonte". 

A última frase da resposta à Petição 09 ("A/a prática, a única verificação quanto à 
vaiidade do comportamento de um software é a anáiise do seu código-fonte”), além 
de difícil de entender, não tem respaldo da literatura, muito provavelmente sendo esta 

72 Software de missão crítica é um software em que uma falha é provável que resulte na perda de vida ou danos ambi¬ 
entais, conforme:Sommerville, I. "Engenharia de Software - 9“ed". São Paulo: Pearson Education BR. 2011 
No caso do software eleitoral, pode resultar em danos à democracia e ã justa disputa pelos cargos eletivos. 
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a razão pela qual a afirmação é apresentada sem referência bibliográfica alguma. Essa 
afirmação parece estar associada ao princípio ágil de programação^^ em que todos os 
membros do time de desenvolvimento são donos do código^'^. 

Essa propriedade coletiva é promovida e reforçada pelo outro princípio ágil de 
programação em pares” (em especial da metodologia ágil Programação Extrema), fa¬ 
zendo com que todos, com a supervisão de um par, exercitem autonomamente a pro¬ 
gramação de novas funcionalidades e supostamente aumente a produtividade e co¬ 
nhecimento coletivo do código sendo produzido. Contudo, Meyer^^ mostra que não há 
evidências fidedignas de que esses dois princípios ofereçam melhorias para o proces¬ 
so de programação; tudo parece depender mais da qualidade dos membros do time 
envolvido, sendo esse tipo de abordagem voltada ao desenvolvimento de softwares de 
porte pequeno a médio . 

Além disso, qualquer abordagem de desenvolvimento de software, incluindo mé¬ 
todos ágeis, devem ter claros os requisitos do software, para que os programadores 
saibam os objetivos do código que estão desenvolvendo e, portanto, tenham um dire¬ 
cionamento mínimo de suas tarefas. É comum que tais requisitos evoluam durante o 
processo de desenvolvimento, mas, ao final do processo, quando o software é final¬ 
mente concluído, eles devem estar claros o suficiente para serem documentados, per¬ 
mitindo (1) evoluções futuras e (2) verificação por pessoas que não participaram do 
processo de desenvolvimento. 

Ambler” apresenta algumas ideias de documentação de projeto de software em 
geral com métodos ágeis; o objetivo não é evitar documentar, mas documentar ape¬ 
nas 0 que agregue valor e na quantidade e hora certas , o que: (1) em sistemas críticos 
sem dúvida incluem os objetivos de segurança de cada módulo e as salvaguardas utili¬ 
zadas para garantir seu correto funcionamento, para evitar que alterações posteriores 
invalidem sua segurança; e (2) em sistemas auditáveis incluem descrições razoavel¬ 
mente detalhadas de seus principais módulos, agregando valor para os auditores. Des- 


73 Meyer, B. "Agile! The Good, the Hype and the Ugly". : Springer, 2014 -http://www.springer.com/978-3-319- 
05154-3 

74 Propriedade coletiva do código: dado que todos do grupo de desenvolvimento supostamente têm conhecimento do 
código sendo desenvolvido, qualquer um deles poderia fazer modificações no código em desenvolvimento; portan¬ 
to, eles supostamente conhecem o comportamento do software no nível do código-fonte 

75 Sommerville, I. "Engenharia de Software - 9° ed". São Paulo: Pearson Education BR. 2011 

76 Ambler, Scott. "Agile/Lean Documenta tion: Strategies for Agile Software Development", 2012 - www.agilemodel- 
ing.com/essays/agileDocumentation.htm 
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se modo, ao final, haverá uma documentação mínima, mas completa, para atender as 
necessidades de certificação ou auditoria interna ou externa. 

De qualquer forma, mesmo se fosse verdade que a programação ágil não resulta 
em qualquer tipo de documentação, também não há evidência na literatura de que 
um auditor que acabe de tomar contato com um software contido em cerca de 50 mil 
arquivos terá facilidade no entendimento do código-fonte disponibilizado para avalia¬ 
ção em apenas 2 semanas, em especial tendo em vista que a pouca documentação in¬ 
terna. como comentários no códiao-fonte. nem sempre estava adequada, completa ou 
sequer correta . 

Essa frase da resposta do STI parece ter sido usada para depreciar a necessidade 
de documentação associada para facilitar o entendimento do código pelos auditores. 
De fato, parece que ela foi tirada de um contexto que não se reproduz no contexto da 
resposta, em especial por ela não se aplicar de forma alguma a sistemas de missão 
crítica. 


4.4.2.4.2. A documentação colocada à disposição estava incompleta, mui¬ 
tas vezes inconsistente com a correspondente parte do código-fonte 
e prejudicou o entendimento mais rápido e ágii do código-fonte as¬ 
sociado, no tempo de apenas 2 semanas da auditoria. 

Quando se fez uso da documentação para entender e tirar dúvidas sobre o 
funcionamento de algumas partes críticas, notou-se o quão curto foi o prazo para essa 
tarefa dos auditores. Muitos pontos críticos não puderam ser estudados a contento por 
falta da documentação apropriada ou por haver inconsistências ou discrepâncias com 
0 respectivo código-fonte, fazendo necessário recorrer à ajuda pessoal dos técnicos do 
TSE. Destaque-se que a ajuda dos técnicos sempre foi muito cooperativa, mas nem 
sempre efetiva em eliminar todas dúvidas surgidas. 

Como 0 código-fonte é a palavra final, tais discrepâncias ocorreram por causa de 
documentação desatualizada, conforme relatado na Petição 42: “Cabe notar ainda que 
os arquivos de documentação fornecidos em parte peio STI se mostraram desatuaiiza- 
dos, pois há divergências em reiação aos códigos-fonte examinados". 

Com base apenas na documentação do software da urna, explicitado na Petição 
09, estima-se que faltou cerca de 25% da documentação. A resposta da petição 09 
vem corroborar essa impressão: “Grande parte dessa documentação encontra-se jun¬ 
to ao código-fonte e outras foram entregues ao iongo dos trabaihos". Acrescentamos 
que "outras" corresponde a pouca documentação adicional. 
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Extrapolando essa estimativa para todo o código-fonte disponibilizado, pode-se 
estimar que cerca de 75% da documentação associada estava presente. 

Considerando que toda documentação adicional tivesse sido fornecida como res¬ 
posta às petições 03 e 09 {"documentação completa relativa ao projeto de desenvolvi¬ 
mento de software de cada sistema ou aplicativo utilizado nas urnas eletrônicas e nos 
demais computadores no processo eleitoral, incluindo a documentação descritiva das 
metodologias de desenvolvimento de software empregadas"), adicionada às docu¬ 
mentações referentes aos padrões nacionais e internacionais supostamente usados 
pelo TSE mais a documentação das salvaguardas de segurança solicitadas nas peti¬ 
ções 04 e 10 (também recusadas), estima-se que a parte entregue, numa estimativa 
grosseira para efeito comparativo, corresponderia a apenas 25% do total solicitado. 

4.4.2.4.3. A qualidade dos comentários no código-fonte, de maneira geral, 
nào era muito boa. 

Isso ficou demonstrado em comparação com o código desenvolvido pelo 
CEPESC, cuja documentação por comentários era bem superior ao do código do TSE, 
fato que se explicitou na Petição 42. Numa escala de 1 a 5: pessimamente documenta¬ 
da, mal documentada, neutra, bem documentada e muito bem documentada - esti¬ 
mamos 3 (neutra). Ou seja, não ajuda muito nem prejudica muito; quando a dúvida, 
contudo, envolvia código comentado dessa maneira, porém, com ausência de docu¬ 
mentação, a situação ficava crítica e dificultava muito o trabalho dos auditores. Embo¬ 
ra um bom projeto e uso adequado de padrões de projeto, nomes apropriados de va¬ 
riáveis, métodos e classes possa reduzir a necessidade de comentários no próprio có¬ 
digo, não se pode considerar uma boa prática a ausência de documentação mais 
abrangente e externa ao código-fonte para o entendimento por pessoas externas que 
desejam verificar a qualidade do software. 

4.4.2.4.4. A metodologia empregada nào é apropriada para o desenvolvi¬ 
mento do software do sistema de eleição eletrônica do TSE. 

Embora não se tenha obtido uma resposta por escrito à petição 03, pode-se con¬ 
siderar que a metodologia usada seja uma metodologia ágil. Ao menos isso foi infor¬ 
mado em conversa com técnicos do TSE, que não especificaram qual metodologia ágil 
era a adotada. Adicionalmente, o último parágrafo da Resposta à Petição 09 é um indí¬ 
cio do uso de metodologia ágil, tanto pelo texto {"Por último, numa abordagem mais 
moderna da disciplina de Engenharia de Software, quanto pela referência biblio¬ 
gráfica citada (embora um tanto antiga, mas representativa: BECK, Kent. Embracing 
Change with Extreme Programming. IEEE Computer, v. 32, n. 10, 1999, p 70-78.). 
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Segundo Sonnnnerville^^ métodos ágeis são bastante adequados a equipes pe¬ 
quenas, para desenvolver softwares de pequeno porte e que não sejam críticos. Des¬ 
se ponto de vista, o software da eleição eletrônica do TSE não parece apropriado para 
ser desenvolvido e evoluído por meio de método ágil, pois é software de missão crítica 
e de grande porte. 

Embora exista um trabalho muito grande na indústria de software para escalar 
métodos ágeis para software de grande porte^®, o fato de ser de missão crítica coloca 
uma barreira muito forte para se utilizar método ágil plenamente no seu desenvolvi¬ 
mento. 

Cabe notar que alguns autores mostram que é possível aplicar alguns princípios 
de métodos ágeis em sistemas críticos, mas outros princípios não^®. Por exemplo, há 
uma necessidade de uma fase bem intensiva de análise e projeto, bem como desen¬ 
volver uma documentação um tanto extensa, em geral em atendimento a regulamen¬ 
tos externos ou pela adoção de padrões ou normas internacionais que precisem ser, 
inclusive, certificadas. 

Conforme discutido por Douglas®®, estender e adaptar métodos ágeis para siste¬ 
mas críticos acaba levando a um processo muito trabalhoso e bastante burocrático. 

Mesmo se forem levadas em consideração as colocações desses dois últimos au¬ 
tores, as adaptações por eles propostas se concentram em tentar aplicar método ágil 
a sistemas de missão crítica, mas não garantem que funcione para software de grande 
porte também. 

Em conclusão, o sistema de eleição eletrônica do TSE, por ser tanto de grande 
porte quanto de missão crítica, não parece ser adequado para a técnica de desenvolvi¬ 
mento ágil. Principalmente por trazer um software legado considerado, parece que um 
processo mais estruturado, como em Cascata®\ seja o mais adequado para o desen¬ 
volvimento incremental e evolutivo do software. 


77 Sommerville, I. "Engenharia de Software - 9° ed". São Paulo: Pearson Education BR. 2011 

78 Stober, T; Hansmann, U. "Agile Software Development: Best Practices for Large Software Development 
Projects". Berlin: Springer-Verlag, 2010. 

79 SAPM. “Agile and Criticai Systems”. SAPM: Course Blog, 2014. - 
https://blog.inf.ed.ac.uk/sapm/author/s0841373/ 

80 Douglass, B.P., and Ekas, L. "Adopting agile methods for safety-critical Systems development".: IBM, 2012 - 
http://www.nohau.se/$2/file/douglass-adopting-agile-methods-for-safety-critical-systems-development.pdf 


81 SAPM. "Does Waterfall Deserve its Bad Press?". SAPM: Course Blog, 2014 - 
https://blog.inf.ed.ac.uk/sapm/2014/02/13/does-waterfall-deserve-its-bad-press/ 
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Em especial, tal abordagem é recomendada para cenários em que os requisitos 
do software sejam razoavelmente bem compreendidos, o que deveria ser o caso da 
urna eletrônica após tantos anos de utilização. 


4.4.2.4.5. A documentação associada e entregue junto com o código-fonte 
disponibilizado, incompleta, é a única documentação que o TSE pos¬ 
sui. 

Considera-se incompreensível a recusa, mesmo respaldada em resoluções do 
TSE, de entregar toda a documentação disponível. O objetivo declarado do TSE sem¬ 
pre foi, não apenas nesta Auditoria Especial, disponibilizar todo o software para exame 
dos partidos. Em seis meses, mesmo com as restrições ambientais de trabalho impos¬ 
tas pelo TSE aos auditores, seria possível entender o código sem a ajuda de documen¬ 
tação, caso algum partido se dispusesse a financiar e encontrasse um grupo de espe¬ 
cialistas disposto a encarar essa tarefa, demasiadamente cansativa e difícil. 

Se é verdade que o TSE está realmente interessado que os partidos analisem e 
validem o software desenvolvido por eles e terceiros associados, então não parece 
existir motivo real para impedir ou deixar de fornecer aos auditores o acesso a toda 
documentação disponível. Pelo contrário, o efeito de oferecer o conjunto completo de 
documentos associados seria facilitar a realização da tarefa e diminuir sensivelmente 
0 tempo de avaliação do código-fonte pelos auditores, ou ao menos permitir uma mai¬ 
or abrangência em tal análise. 

Assim, conclui-se que, a menos que o TSE não possua documentação de todo o 
projeto do software da eleição eletrônica, o que configuraria uma situação muito gra¬ 
ve, pois 0 software é de missão crítica e deveria possuir uma forte e completa docu¬ 
mentação associada, seria do próprio interesse do TSE apresentar toda documentação 
para demonstrar a alegada transparência do processo de validação do software. 

4.4.2.4.6. Sendo um software de missão crítica, a documentação do softwa¬ 
re da eleição eletrônica do TSE deveria ser completa e de qualidade 

Por ser um software de missão crítica, o TSE deveria estar com documentação 
preparada para garantir que está conforme as normas nacionais e internacionais de 
segurança, bem como com a leis e regulamentos que se aplicam ao processo eleitoral; 
se não por imposição legal, tal transparência poderia ao menos ser motivada por de¬ 
sejo de realizar auditorias internas e se assegurar que seu processo está aderente às 
melhores práticas e normas de segurança, demonstrando ainda estar pronto para au¬ 
ditorias externas, como a presente Auditoria Especial. 
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Neste caso, como discutido anteriormente no item E acima, não é especialmente 
relevante o uso do processo em Cascata - que naturalmente induz a se ter uma forte 
documentação - ou de algum método ágil adaptado a sistemas de missão crítica e de 
grande porte: ao final, deverá ser apresentada uma documentação apropriada e con¬ 
dizente com as necessidades do tipo de software. 

4.4.2.4.7. Conclusão sobre a avaliação da documentação do software 

Essa tarefa de auditoria não foi plenamente atendida, pois a documentação do 
software disponibilizada para análise mostrou-se bastante incompleta. 

Embora tenha sido possível tirar muitas conclusões importantes na realização 
dessa tarefa, no que diz respeito ao entendimento mesmo que parcial do código, cons¬ 
tata-se que as condições oferecidas pelos TSE foram muito restritivas e impediam a 
otimização do tempo de análise. 

A análise realizada mostra a ausência (ou, ao menos, uma adoção insuficiente) 
de boas práticas em Engenharia de Software voltadas a projetos de grande porte e de 
missão crítica. 

Cabe notar que a presente análise referente à metodologia e à documentação do 
software eleitoral teve resultado bastante semelhante ao descrito no Relatório da Fun¬ 
dação COPPE-UFRI^^, de 2002 . no qual também era apontada a incompletude da docu¬ 
mentação e a metodologia inadequada no desenvolvimento do software eleitoral, su¬ 
gerindo que esse problema persiste desde então . 

4.4.2.5. Análise do Código-fonte 

Atividade prevista no PTI: anaiisar o código-fonte compieto de todo o software 
carregado nas urnas eietrônicas, obtendo o software fonte no DVD iacrado no 
dia 04.09.2014 no TSE, para avaiiar sua compietude e a eventuai existência de 
vuinerabiiidades que pudessem ser expioradas em ataques internos e exter¬ 
nos 


No entender dos auditores, na expressão "todo o software embarcado" se inclui, 
ao menos: o firmware^^ gravado em circuitos internos, o BIOS (Basic Input e Output 


82 Rocha, A.R.C. et al. “Relatório de Avaliação do Software TSE realizada pela Fundação COPPETEC”. Brasília: 
COPPE/UFRJ, 09/08/2002 - http://www.angelfire.com/journal2/tatawilson/coppe-tse.pdfver resumo em: 
http://www.votoseguro.org/textos/relcoppetecl.htm 


83 Firmware - em tradução livre da definição da PC Magazine: “firm software”, ou instruções de software residentes 
em chips de memória não volátil. Visto em: http://www.pcmag.com/encyclopedia/term/43223/firmware 
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System), o Loader gravado nas mídias de inicialização, o Sistema Operacional e todos 
Aplicativos com suas respectivas bibliotecas internas e externas 

A análise do código-fonte completo de um sistema é parte da validação do _ 

software e é etapa essencial em um sistema eleitoral que, por concepção, tem a confi¬ 
abilidade do resultado que publica integralmente dependente da qualidade do softwa¬ 
re embarcado nas urnas no dia da eleição, como no presente caso. 

Para ser correta e completa, uma validação de software de missão crítica, i.e., 
que requer alto nível de confiabilidade, deve desenvolver uma análise de todos códi¬ 
gos-fonte de todo 0 sistema, incluindo o software desenvolvido internamente e tam¬ 
bém 0 recebido de terceiras partes, deve verificar se os procedimentos de compilação 
(transformação dos programas fontes em programas executáveis) não provocaram a 
inserção de adulterações maliciosas e, por fim, deve efetuar testes tão exaustivos 
quanto possível sobre o programa compilado para verificar eventuais comportamentos 
indevidos (sejam eles propositais ou causados por um erro ou descuido na programa¬ 
ção). 

Uma validação desse tipo requer uma equipe ampla de auditores com especiali¬ 
zações diversas, muito tempo de trabalho minucioso e resulta em altos custos, nor¬ 
malmente maiores que os custos de desenvolvimento do próprio software. 

Nesta seção (4.4.2.5) se descreve como foi o processo de análise dos fontes, sen¬ 
do que a compilação é analisada nas duas seções seguintes (4.4.2.6, p. 109, e 
4.4.2.7, p. 111). 

Os testes exaustivos dos programas executáveis não foram desenvolvidos por 
absoluta falta de recursos e de tempo dentro do presente processo de auditoria. 


4.4.2.5.1. A obtenção dos dados 

O primeiro passo da atividade consistia em conferir se todos os códigos-fontes e 
executáveis carregados das urnas eletrônicas estavam de fato gravados no DVD pro¬ 
duzido na Cerimônia de Lacração dos Sistemas que ocorreu no dia 04.09.2014 no TSE. 

Os auditores puderam acompanhar a retirada do DVD do cofre do TSE e puderam 
conferir suas próprias assinaturas manuais nos lacres da embalagem. 

Posteriormente, os códigos-fontes foram copiados para dez computadores ofere¬ 
cidos pela STI para uso dos auditores. Porém, logo se constatou que entre os progra- 
mas-fonte disponibilizados não estavam presentes : 


p. 91 de 217 





a) As bibliotecas de segurança desenvolvida pelo CEPESC/ABIN; 

b) O BIOS {Basic Input e Output System) desenvolvido pela Diebold, fabricante 

das urnas; 

c) O firmware {“firm software”) gravado no circuito MSD de segurança e desen¬ 
volvido pela Diebold. 

Foi, então, solicitada a disponibilização desses programas-fonte e foram feitos vá¬ 
rios pedidos de esclarecimentos sobre esses sistemas. 

Os códigos-fonte do CEPESC/ABIN foram instalados no dia seguinte pelos seus 
próprios funcionários, mas os fontes do BIOS e do MSD não foram apresentados sob 
alegação de que esses elementos de software seriam parte do hardware e não do 
software da urna (?!), estando, segundo a concepção da STI, fora do pedido inicial 
aprovado. 

Devido à sua importância, descreve-se a seguir a influência desses três itens na 
segurança geral das urnas eletrônicas. 

4.4.2.5.2. Autenticidade do código do CEPESC/ABIN 

O motivo original que levou o TSE, desde 1996, a usar as rotinas de criptografia 
desenvolvidas pelo CEPESC/ABIN, era encriptar®"* (camuflar) o conteúdo do BU que se¬ 
ria transmitido para a totalização. 

No entanto, esse é um procedimento desnecessário uma vez que o BU é um do¬ 
cumento público por lei, sendo considerado crime não entregar cópias abertas deles 
aos fiscais dos partidos imediatamente após o encerramento da votação, que ocorre 
antes da transmissão dos resultados. 

A rigor, para efeito da segurança da transmissão, o BU só precisa ser assinado di¬ 
gitalmente®® para que se possa garantir a sua integridade e autenticidade no ponto de 
sua recepção pelo sistema de totalização. 

A STI alegou, em sua resposta ao Pedido 44, o seguinte: 

O arquivo de resultado da votação (Boletim de Urna) é crip¬ 
tografado e assinado digitalmente e, em especial, a cripto¬ 
grafia do Boletim de Urna tem o objetivo de impor uma bar- 

84 Criptografia ou cifração é uma técnica destinada a garantir a confidencialidade de um documento que se quer 
manter secreto. 

85 Assinatura Digital é uma técnica destinada a garantir a integridade e a antenticidade de um documento digital, 
seja ele público ou secreto. A técnica que o TSE utiliza para assinatura digital é denominada ECDSA (curvas elípti¬ 
cas) que tem todo o seu código e sua documentação públicos e abertos. 
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reira de segurança adicional sobre o arquivo que é utilizado 
para a totalização dos resultados. De fato, o resultado no Bo¬ 
letim de Urna é público desde a sua impressão pela urna . 


0 argumento de que esta criptografia incrementa a segurança do BU é bastante 
questionável. Afinal, não se vislumbra como camuflar um dado que já foi tornado pú¬ 
blico tornaria mais seguro o processo de transmissão desse dado. 

Além de encriptar algo que não precisava ser encriptado, segundo informação da 
STI na resposta ao Pedido de Esclarecimento 36, o software (biblioteca de criptografia 
simétrica) desenvolvido pelo CEPESC/ABIN, que é inserido (ligado) no software das ur¬ 
nas eletrônicas, é atualizado antes de cada eleição . 

A resposta da STI não esclareceu o motivo dessa atualização a cada ciclo eleitoral 
já que, usando-se um bom algoritmo de criptografia, bastaria trocar a chave criptográ¬ 
fica a cada ciclo, o que poderia ser feito sem se recorrer a novos códigos "atualizados" 
do CEPESC/ABIN. 

Ademais, o código-fonte referente à eleição de 2014 não estava gravado no DVD 
oficial do TSE, o que contraria o disposto no Art. 66 da Lei 9.504 e até mesmo o dis¬ 
posto na Resolução 23.397 do TSE®®. 

Como consta da ata da cerimônia de análise dos códigos-fonte, os agentes da 
ABIN tiveram que comparecer ao TSE para instalarem o que seria, em tese, o código- 
fonte das suas bibliotecas dos aplicativos usados em 2014 (mas não instalaram as do 
circuito MSD), demonstrando que era incorreta a afirmação do setor SEVIN/STI na res¬ 
posta ao Pedido de Esclarecimento 35, onde se disse que: 

A STI/TSE possui o código-fonte desenvolvido pelo 
CEPESC sob seu controle e responsabilidade. 

Durante a instalação, os agentes do CEPESC/ABIN alertaram que seu código-fonte 
não poderia ser compilado, sem dar maiores explicações do porquê. 


86Resolução 23.397/1993, artigo 10: Os arquivos referentes aos programas-fonte, programas-executáveis, arquivos fi¬ 
xos dos sistemas, arquivos de assinatura digital, chaves públicas e resumos digitais dos sistemas e dos programas de as¬ 
sinatura e verificação apresentados pelas entidades e agremiações serão gravados em mídias não regraváveis.Parágrafo 
único. As mídias serão acondicionadas em invólucro lacrado, assinado por todos os presentes, e armazenadas em cofre 
próprio da Secretaria de Tecnologia da Informação do Tribunal Superior Eleitoral. 
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Não foi permitido aos auditores procederem uma recompilação desse código 
apresentado para se verificar se dele derivava, de fato, o código compilado gravado 
no DVD oficial. 

Sob tal restrição, os auditores não tiveram como determinar a identidade e cor¬ 
respondência exata entre o códiao da ABIN apresentado para análise e o códiao de 
fato carregado nas urnas eletrônicas usadas em 2014 . 

Por outro lado, se podem questionar os riscos para a segurança dos eleitores e 
dos candidatos propiciados pela presença da ABIN, vinculada ao Poder Executivo, en¬ 

tre os fornecedores do software eleitoral , principalmente se for considerado que as ro¬ 
tinas fornecidas pela ABIN são: 

a) Desnecessárias - já que são usadas para encriptar algo que não precisa ser 
encriptado; 

b) Desnecessariamente atualizadas a cada ciclo eleitoral - já que, se de boa 

qualidade, bastaria trocar as chaves de criptografia; 

c) Secretas - já que não são gravadas no DVD oficial e a autoridade eleitoral 

não permite verificar se as apresentadas para análise eram, de fato, as usa¬ 
das na eleição. 


4.4.2.5.3. O Conteúdo do BIOS 

O BIOS {Basic Input e Output System) é um dos softwares embarcados (firmware) 
presentes nas urnas eletrônicas mais importante no que diz respeito à segurança do 
sistema. 

O aspecto crítico advém do fato que importantes inicializações do equipamento 
são feitas por meio do BIOS e, com isso, ele se torna um ponto de ataque para a inser¬ 
ção de malware^^ ou exploração de vulnerabilidades, como as seguintes possibilida¬ 
des: 

a) instalação de “portas-dos-fundos” para serem exploradas em ataques futuros que 

tentem burlar a segurança interna dos programas aplicativos; 

b) em certas situações basta existir uma falha, mesmo não proposital, no BIOS para 

que ela seja explorada por uma eventual fraude; 

c) não basta assinar digitalmente o BIOS para se afirmar que ele é seguro. A assi¬ 
natura apenas comprova que ele não foi alterado, quando é necessário auditá-lo 
e testá-lo em várias situações de exceção para comprovar se não apresenta vul¬ 
nerabilidades; 


87 Malware: trechos de códigos maliciosos inseridos em programas de computador. 
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d) qualquer memória não volátil do equipamento pode carregar instruções que po¬ 
dem ser executadas em uma eventual fraude, incluindo circuitos aparentemente 
inofensivos, como o relógio de tempo real. 

Apesar do BIOS ser um potencial vetor de ataques, sua inserção na uma eletrôni¬ 
ca não é feita de forma compatível com esta criticidade: o BIOS é originalmente de¬ 
senvolvido pelo fabricante do chip que é soldado na placa-mãe, e depois é comple¬ 
mentado e regravado pela empresa Diebold, fabricante das urnas, ainda na fábrica. O 
fornecedor do chip BIOS, o fornecedor das placas-mãe e também o fornecedor das ur¬ 
nas, (empresas estrangeiras) têm, portanto, amplo acesso a este componente do sis¬ 
tema. 

Cabe notar que vulnerabilidades na BIOS, caso não sejam corrigidas a priori (i.e., 
antes que a mesma seja instalada no sistema), permitem ataques extremamente difí¬ 
ceis de detectar: afinal, o BIOS pode "enganar" o software inicializado posteriormente 
à sua própria execução (e.g., injetando código no sistema operacional ou em algum 
programa aplicativo)^®, como foi demonstrado no caso do Ataque de Princeton^^. 

De fato, existem diversos casos na literatura especializada sobre vulnerabilidades 
relacionadas exatamente ao BIOS. Um dos mais notórios é provavelmente os 
softwares maliciosos criados pela NSA para infectar o BIOS de computadores (e.g., o 
"DEITYBOUNCE"^°) e, assim, permitir espionagem em larga escala de forma indetectá- 
vel mesmo pelos mais avançados antivírus. 

Outro caso de exploração de sistemas no momento de sua inicialização que ga¬ 
nhou notoriedade recentemente é o software malicioso batizado de "Thunderstrike"^^, 
voltado a computadores da linha Mac: uma vulnerabilidade no sistema de boot permi¬ 
te alterar até mesmo as chaves de segurança utilizadas para garantir que apenas 
softwares assinados pelo fabricante sejam executados, permitindo burlar tais mecanis¬ 
mos sem 0 conhecimento do usuário. 


88 Uma discussão interessante sobre este problema é feita em: A. Sacco, A. Ortega. Persistem BIOS Infection. Can- 
SecWest'09, 2009. Disponível em https://cansecwest.eom/csw09/csw09-sacco-ortega.pdf 

89 Ataque de Princeton: vídeo ilustrativo em : http://www.youtube.com/watch?v=0AKR-Lo-700e relatório técnico em: 
http://citpsite.s3-website-us-east-l.amazonaws.com/oldsite-htdocs/pub/ts06full.pdf 

90 D. Salíhun. “NSA BIOS Backdoor a.k.a. God Mode Malware Part 1: DEITYBOUNCE”. InfoSec Institute, 2014. 
Disponível: http://resources.infosecinstitute.com/nsa-bios-backdoor-god-mode-malware-deitybounce/ 

91 D. Goodin. “World’s first (known) bootkit for OS X can permanently backdoor Macs. Ars Technica”: 2015. Dispo¬ 
nível: http://arstechnica.eom/security/2015/01/worlds-first-known-bootkit-for-os-x-can-permanently-backdoor- 
macs/ 
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Estes e outros casos mostram que a segurança de qualquer sistema computacio¬ 
nal, incluindo da urna eletrônica brasileira, depende criticamente da segurança do 
BIOS. 

Infelizmente, entretanto, a autoridade eleitoral recusou apresentar os códigos do 
BIOS das urnas eletrônicas, como consta na resposta ao Pedido de Esclarecimento 27 
porque a STI entende que firmware é parte do hardware e não do software (!?). O pe¬ 
dido foi encaminhado à Corte que o negou por não constar da petição inicial. 

Sob essas restrições, as poucas informações obtidas foram insuficientes para 
qualquer avaliação da real segurança do BIOS das urnas eletrônicas usadas em 2014. 

4.4.2.5.4. O Circuito de Segurança MSD 

Os circuitos de segurança, denominados pelo TSE como MSD (Master Secure De- 
vice), SMT {Secure Micro Terminal) e SCK {Secure Ciphered Keyboard) foram introduzi¬ 
dos a partir das urnas de modelo 2009, para evitar possíveis ataques externos que fo¬ 
ram identificados como viáveis na análise desenvolvida pela Fundação de Apoio à Ca¬ 
pacitação em Tecnologia da Informação (FACTI) do Ministério de Ciência e Tecnologia, 
como revelado na cartilha Por Dentro da Urna^^ do TSE. 

No restante do presente relatório, esses circuitos serão referidos apenas como 
MSD, pois este é o núcleo principal que foi criado para evitar o "Ataque de Prince- 
ton"^^, que adulterava a apuração dos votos explorando a possibilidade de regravar o 
conteúdo do BIOS nas urnas fabricada pela Diebold nos EUA. 

Este tipo de dispositivo tem dois modos de atuação: (i) o modo ativo, usado du¬ 
rante a inicialização da urna para verificar que apenas softwares autorizados são colo¬ 
cados em execução; e (ii) o modo passivo, quando um aplicativo da urna acessa o dis¬ 
positivo e solicita a execução de alguma tarefa (previamente nele programada). 

Toda vez que alguma tarefa é solicitada ao dispositivo, ele funciona como uma 
"caixa preta", pois não se tem como controlar ou se ter certeza do que ele realmente 
está fazendo. Assim, na prática, é impossível auditar a eficácia desse tipo de dispositi¬ 
vo, a não ser que na sua implementação inicial se tenha deixado outro tipo de porta- 


92 Tribunal Superior Eleitoral - Por dentro da Urna. - 2® edição revista e atualizada - Brasília: TSE, 2010 - disponí¬ 
vel em: http://www.justicaeleitoral.jus.br/arquivos/tse-cartilha-por-dentro-da-urna 

93 Ataque de Princeton: vídeo ilustrativo em: http://www.youtube.com/watch?v=0AKR-Lo-700e relatório técnico em: 
http://citpsite.s3-website-us-east-l.amazonaws.com/oldsite-htdocs/pub/ts06full.pdf 
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dos-fundos que permita acesso real ao seu conteúdo, o que seria uma gravíssima fa¬ 
lha de segurança e contrário ao próprio conceito que levou à sua concepção. 

Uma análise mais profunda da arquitetura e dos procedimentos de carga do 
firmware do MSD revela a possibilidade de fraudes quase impossíveis de serem elimi¬ 
nadas pelo TSE, pois a mesma tecnologia usada para proteger o sistema impedindo a 
gravação de maiware no BIOS, poderia ser usada para esconder um código malicioso, 
impedindo a sua eliminação do firmware do MSD. 

Os possíveis riscos de segurança identificados como consequentes da implemen¬ 
tação dos circuitos MSD são os seguintes: 

a) A carga inicial do software (firmware) nos dispositivos MSD é um momento extre¬ 
mamente crítico, pois, nesse nele, o próprio dispositivo não tem como verificar a 
real procedência deste firmware; 

b) Uma eventual “porta-dos-fundos"^"^, colocada nesta primeira carga, poderia conti¬ 
nuar presente indefinidamente, mesmo se o firmware for atualizado para novas 
versões e ainda que se utilize algum tipo de “secure download”^^, pois será o pró¬ 
prio firmware corrente, afetado por tal vulnerabilidade, que interpretará e imple¬ 
mentará o novo código a ser gravado; 

c) Uma fraude nesse firmware seria de muito difícil detecção, pois, conforme afirma¬ 
do anteriormente, a mesma tecnologia utilizada para proteger o sistema, poderia 
simplesmente esconder a fraude; 

d) As únicas ações reais de segurança nesse dispositivo, durante o “secure downlo¬ 
ad”, seriam verificar a integridade do novo código e a autenticidade de sua ori¬ 
gem. Caso tenha sido inserido, por exemplo, um certificado adicional no dispositi¬ 
vo além do certificado legítimo do TSE, quem conhecer essa vulnerabilidade po¬ 
deria instalar o novo software que assuma o controle do dispositivo durante todo 
o período em que a urna estiver ligada; 

e) Se um eventual fraudador tiver como assumir o controle do dispositivo, ou na car¬ 
ga inicial ou durante qualquer atualização do firmware, ele não estará limitado a 
fraudar uma eleição apenas, mas sim todas as eleições nas quais urnas com o 
referido firmware estiverem em uso. 


94 Nesse caso específico, uma porta-dos-fundos poderia ser a inclusão de um certificado de assinatura digital adicio¬ 
nal . além dos certificados do próprio TSE. 

95 Secure Download é o nome dado pelo TSE ao código responsável por carregar nm novo firmware no circuito de se¬ 
gurança MSD das urnas de modelo 2009 em diante. Trata-se de um ponto crítico do processo de segurança e faz 
parte dos aplicativos SCAUE-C e SCAUE-A usados nos TRE's quando da recepção de novas urnas. 
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Apesar deste também ser um componente crítico da segurança da urna eletrôni¬ 
ca, a autoridade eleitoral se recusou a apresentar o código-fonte e o código compilado 
do firmware dos circuitos de segurança para análise dos auditores sob a alegação que 

não constavam do pedido inicial . 

Ainda mais grave, a STI demonstrou que não tem domínio do firmware do MSD, 
pois declarou, em sua Informação n^ 69 ASPLAN/STI de 08.05.2015, que necessitaria 
de 15 dias para preparar uma eventual apresentação desse código porque "faz-se ne¬ 
cessário convidar o fabricante das urnas eletrônicas para explanar sobre os elementos 
dos softwares embarcado em hardware". 

A Resposta à Petição 23 demonstrou que o "desenvolvimento e compilação do 
firmware do MSD são realizados pela Contratada para fabricação das urnas". No caso, 
esse trecho refere-se à empresa Diebold. 

Já a Resposta à Petição 24 revelou que os procedimentos de segurança usados 
pelo TSE se restringem apenas à assinatura do firmware do MSD antes da fabricação 
de todas as unidades de um modelo. Não foi descrita a existência de quaisquer proce¬ 
dimentos de verificação e validação do firmware após entrega das urnas, nem após as 
eleições terem sido realizadas. 

Assim, não se identificou, no andamento do processo eleitoral, qualquer auditoria 
interna do TSE que seja desenvolvida com relação ao estado desse firmware antes e 
depois da eleição; se for realmente este o caso, essa ausência de controle vai contra o 
próprio conceito de assinatura digital de software (por definição, um voto de confiança 
de que aquele software opera corretamente). 

Embora testes "exaustivos" possam mostrar que as funcionalidades do MSD es¬ 
tejam eventualmente condizentes com os requisitos funcionais estabelecidos, não há 
garantia de que o firmware do MSD não esteia realizando alguma funcionalidade ocul¬ 

ta e em desacordo com as diretrizes do TSE . 

Em resumo, a tecnologia usada no circuito de segurança MSD pode tanto servir 
para dificultar a gravação de malware no BIOS, como para esconder eventual malware 

nele gravado . 
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4.4.2.5.5. Revelações iniciais da Análise do Software 

Independente da análise do código propriamente dita, as repostas obtidas da 
STI/TSE, no ambiente de análise do software, revelaram o seguinte: 

a) Contrariando o disposto nos §§ 1° e 2° do Art. 66 da Lei 9.504, parte dos progra¬ 
mas fontes e executáveis usados nas urnas eletrônicas não estavam gravados 
no DVD oficial da eleição de 2014; 

b) As urnas fabricadas até 2008 (25% do usado em 2014) permitiam modificação li¬ 
vre do conteúdo do BIOS. Essa característica tem um lado positivo anti-fraude, 
pois possibilita ao TSE eliminar qualquer eventual “porta-dos-fundos” nela inseri¬ 
da pelo fabricante, supondo-se que uma auditoria fosse realizada pelo TSE para 
este fim. 

Tem-se como lado negativo a vulnerabilidade do sistema a ataques de implanta¬ 
ção de maiware na BIOS, como demonstrado no "Ataque de Princeton" pela equipe do 
professor Alex Halderman: 

a) As urnas fabricadas a partir de 2009 (75% do usado em 2014) possuem circuitos 
adicionais “de segurança”, genericamente denominado MSD, que, por um lado, 
tenta evitar o “Ataque de Princeton” direto no BIOS, mas, por outro lado, abre 
oportunidade para o fabricante, ao menos em tese, plantar portas-dos-fundos^^ 
permanentes no seu firmware\ 

b) Além do fabricante, Diebold, também têm acesso ao conteúdo do firmware do 
circuito de segurança MSD os funcionários do CEPESC/ABIN (pelo desenvolvi¬ 
mento de parte do software) e os funcionários das empresas terceirizadas con¬ 
tratadas para auxílio no manuseio das urnas eletrônicas nos TRE’s, como a 
Smartmatic®^, por exemplo; 

c) O TSE não tem posse do código-fonte das bibliotecas de criptografia desenvolvi¬ 
das pelo CEPESC/ABIN, que são ligadas (incluídas) aos programas aplicativos 
de votação e de gerenciamento das urnas, bem como das que são gravadas no 
firmware dos circuitos de segurança MSD; 

96 Um exemplo simples de porta-dos-fundos que o fabricante das urnas poderia incluir no circuito MSD seria um se¬ 
gundo certificado raiz para verificação de assinaturas, além do certificado que o TSE solicita que seja gravado. 

97 O contrato 80/2012 entre a Smartmatic e o TSE em 2012 previa, entre outros, o seguinte serviço a ser prestado:“f) 
procedimentos de atualização de software embarcado e certificação digital nas urnas de modelos a partir de 2009”. 

Esse serviço descrito no item f) do contrato TSE/Smartmatic é exatamente a carga do firmware no circuito MSD das ur¬ 
nas eletrônicas de modelo 2009 em diante, que seria feito com a participação de funcionários da Smarmatic e sem a 
presença dos Partidos Políticos ou do MP (o que contraria o disposto no Art, 66 da Lei 9.504). 
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d) O TSE evidenciou não ter domínio técnico sobre o código-fonte do firmware in¬ 
cluído no BIOS e no circuito MSD, pois a STI declarou, em sua Informação n° 69 
ASPLAN/STI de 08.05.2015, que necessitaria de 15 dias para preparar a apre¬ 
sentação desse código porque “faz-se necessário convidar o fabricante das ur¬ 
nas eletrônicas para explanar sobre os elementos dos softwares embarcado em 
hardware”] 

e) No processo de desenvolvimento do sistema da urna, não há auditoria interna do 

TSE com relação ao estado do firmware do MSD antes e depois da eleição : 

f) As chaves de segurança que permitem a verificação da integridade do software 

estão gravadas (hardcoded) no próprio código compilado, causando uma falha 
de segurança, pois um software malicioso poderia, ao menos em tese, obter es¬ 
sas chaves para assinar arquivos de resultado falsos como se os mesmos fos¬ 
sem gerados por urnas legítimas. 

A comprovação dessa vulnerabilidade foi verificada não apenas na análise dos 
códigos-fonte, mas também foi declarada na resposta ao pedido de esclarecimento 33, 
onde, para justificar a recusa de apresentação dos códigos compilados, foi dito que 
"as chaves de assinatura e de criptografia de arquivos poderiam ser extraídas do bi¬ 
nário...". 


4.4.2.5.6. O volume dos Dados 

Os códigos-fonte disponibilizados, ainda que incompletos, compunham mais de 
50 mil arquivos com mais de 17 milhões de linhas de código. 

A limitação de tempo (apenas 9 dias úteis na prática) e de recursos pessoais 
(apenas 10 analistas pré-aprovados e 6 disponíveis na prática), implicaria em uma ta¬ 
refa impossível de cada analista avaliar e compreender a interconexão de mais de 11 
linhas de código por segundo, sem parar em um só momento durante o prazo disponí¬ 
vel. 

Por esse motivo, os auditores tiveram que restringir suas análises a trechos do 
código que consideraram mais importantes ou críticos. Sob essa condição, não há 
como afirmar que o código-fonte do sistema eleitoral brasileiro, na sua totalidade, está 
livre de erros que possam afetar o registro e apuração correta dos votos. 

Essa dimensão revela, na prática, que a validação do software eleitoral do TSE 
chega a ser inviável sob condições razoáveis de recursos e custos . 
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4.4.2.5.7. O ambiente operacional de análise 

A avaliação dos códigos permitida se restringia a apenas uma análise estática do 
código-fonte por meio de sua leitura com auxílio de alguma ferramenta de análise, 
não sendo permitido desenvolver análise dinâmica do software (como a inserção de 
breakpoints e execução controlada de trechos do código para entender seu funciona¬ 
mento detalhado), resultando numa limitação de recursos totalmente incompatível 
com uma validação de nível forense. 

Uma dificuldade adicional aos trabalhos da auditoria foi a recusa da STI de insta¬ 
lar uma ferramenta de análise de código mais robusta e rápida que a disponível. 

Na petição inicial, foi solicitada a instalação da ferramenta de análise denomina¬ 
da Eclipse porque esta é normalmente usada e disponibilizada pela STI. Porém, logo 
no início dos trabalhos a ferramenta se revelou insuficiente para acessar e indexar a 
totalidade do código, principalmente por funcionar dentro de um sub-ambiente JAVA. 
Cada tentativa de localizar um outro trecho do código podia demorar algumas dezenas 
de minutos para se completar. 

Como consta na ata da cerimônia, o primeiro dia foi perdido na tentativa de obter 
uma configuração de melhor desempenho do Eclipse. Embora tenha havido alguma 
melhora, os analistas optaram por solicitar a instalação do sistema Visual Studio ou do 
Visual C++, que proveem melhor eficiência para analisar sistemas complexos e gran¬ 
des (e.g., facilidade de indexação de código). 

Porém, a STI decidiu unilateralmente negar a instalação dessa outra ferramenta, 
alegando o seguinte: 

Resposta ao ped. 8 - "Na petição de Protocolo TSE 
4.455/2015, juntado ao processo judicial Petição 1855- 
20.2014.6.00.0000, o requerente listou as ferramentas que 
desejava instaladas no ambiente de apresentação do código- 
fonte. No pedido original não constava o software Visual Stu¬ 
dio, mas tão somente o Eclipse, que foi devidamente instala¬ 
do e configurado em todos os equipamentos à disposição 
dos técnicos. A STI/TSE entende que o Eclipse já instalado é 
ferramenta suficiente para a análise pretendida, porque pos¬ 
sui todas as funcionalidades necessárias, além de tratar-se 
da ferramenta utilizada pela STI/TSE no ambiente de desen¬ 
volvimento do software que está sendo inspecionado. 
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Em resumo, a STI ignorou as dificuldades operacionais enfrentadas pelos analis¬ 
tas, alegou que sua equipe utilizava o Eclipse e negou a facilidade solicitada por ale¬ 
gada preclusão . porque não constava do pedido inicial, mesmo que os auditores só te¬ 
nham podido constatar as limitações do Eclipse frente ao tamanho e à complexa 
intercorrelação de módulos do código sob análise, depois de iniciados os trabalhos. 


4.4.2.5.8. Análise do Código-fonte Disponível 

A análise do código disponibilizado ocorreu entre os dias 04 e 15 de maio de 
2015 (dez dias úteis), em ambiente controlado nas dependências do TSE. 

Os analistas tiveram que ser pré-aprovados pelo TSE, tendo sido recusada a ins¬ 
crição do professor Alex Halderman®® e do analista de segurança Rodrigo Branco®®, por 
alegado risco à soberania nacionaP°°. Um pedido de reconsideração dessa recusa não 
foi respondido até o final dos trabalhos da análise. 

Uma parte da análise consistiu na execução do programa de verificação estática 
de código CppCheck, em busca de vulnerabilidades e pontos de atenção. Tal execução 
apontou mais de 1000 trechos identificados como erros (i.e., problemas considerados 
graves pelo programa de análise) e mais de 2000 alertas (i.e., sugestões relativas a 
técnicas de programação defensiva, que podem evitar falhas). 

Embora não tenha havido tempo hábil para verificar todos os potenciais proble¬ 
mas apontados pelo CppCheck, foi identificada ao menos uma vulnerabilidade bastan¬ 
te grave em um dos códigos-fonte fornecidos: o módulo denominado secure_downlo- 
ad^°^ pode ser explorado por meio de um estouro de buffer {"buffer overflow"), o que 
permitiria a execução de código arbitrário por qualquer pessoa utilizando o referido 
módulo (burlando qualquer salvaguarda estabelecida, inclusive eventuais assinaturas 
digitais). 

98 Alex Halderman é Professor Associado em Ciência da Computação na University of Michigan e diretor do Center 
for Computer Security and Society. Tem grande experiência bem-sucedida em demonstrar a fragilidade de sistemas 
eleitorais eletrônicos, já tendo vencido as barreiras de segurança de mais de 10 equipamentos e sistemas eleitorais 
norte-americanos (da Diebold, similares às urnas brasileiras), da Holanda, da índia e da Estônia (voto pela Internet). 

99 Rodrigo Branco, brasileiro, é engenheiro do ITA com larga especialização em segurança de dados. Ocupa o cargo 
de Principal Security Researcher na Intel Corporation. 

100 Conforme decisão do Presidente do TSE, Ministro Dias Toffoli, nos autos da Petição n° 1855-20, na data de 06 de 
abril de 2015. 

101 Secure Download é o nome dado pelo TSE ao código responsável por conferir e carregar um novo firmware no cir¬ 
cuito de segurança MSD das urnas de modelo 2009 em diante. Trata-se de um ponto crítico do processo de seguran¬ 
ça e faz parte dos aplicativos SCAUE-C e SCAUE-A usados nos TRE's quando da recepção de novas urnas. 
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A presença de tal tipo de vulnerabilidade por si só é considerada grave pelo fato 
da mesma figurar como o terceiro erro de software mais perigoso na lista CWE/SANS 
de 2011^°2 

Este fato, combinado com o grande número de alertas menos graves gerados 
pela ferramenta CppCheck, leva a sérias dúvidas se o processo de desenvolvimento 
de software sendo utilizado para a urna eletrônica brasileira de fato segue boas práti¬ 
cas de segurança para criação de software de missão crítica, o que inclui processo de 
análise estática do código e eliminação de pontos levantados pela ferramenta utiliza¬ 
da. 

De fato, a recomendação para execução de tal análise aparece no relatório do 
Prof. Diego Aranha em 2013^°^, na seção "4.2.3 Ausência de análise estática de códi¬ 
go", até mesmo porque procedimentos deste tipo detectariam a "família de funções 
vulnerável utilizada para embaralhamento dos votos", principal falha apontada no re¬ 
ferido relatório. 

Para entender a utilização de tais ferramentas no processo de desenvolvimento 
do código da urna, foi feito o seguinte pedido de esclarecimento durante o processo 
de auditoria: 


Pedido de Esclarecimento 43 - "Solicitamos esclarecer se o 
STI/TSE utiliza alguma ferramenta de análise estática de có¬ 
digo fonte, tal como o "CppCheck". Em caso afirmativo, es¬ 
clarecer adicionalmente como são gerenciadas pelo STI os 
potenciais problemas evidenciados por este tipo de análise" 

A resposta obtida foi: 

Resposta ao Pedido de Esclarecimento 43 - "A STI/TSE utiliza 
a ferramenta "CppCheck" nos projetos codificados em C-t-+. 
A ferramenta faz parte do processo de integração contínua 
do software. Os alertas gerados são avaliados e, caso sejam 
pertinentes, tratados" 


102 Alista CWE/SANS é o resultado da colaboração entre o SANS Institute, MITRE, e vários experts em segurança de 
software nos Estados Unidos e Europa. A lista atualizada pode ser encontrada em http://cwe.mitre.org/top25/ 

103 D. Aranha, M. Karam, A. Miranda, F. Scarel (2013). "Vulnerabilidades no software da urna eletrônica brasilei¬ 
ra - V. 1.0.2" - 2012. Disponível vem: 

https://archive.org/stream/vulnerabilidades_urna_eletronica_brasileira/relatorio-urna_djvu.txt 
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Embora tal resposta seja aparentemente alentadora, pois indica que a recomen¬ 
dação feita no mencionado relatório de 2013 foi acatada, ela gera preocupações sobre 
0 que a STI/TSE considera "pertinente", por pelo menos dois motivos. 

O primeiro é que ignorar um dos erros de software listados entre os mais perigo¬ 
sos, quando a solução para o mesmo não é tecnicamente difícil ou trabalhosa (e.g., 
bastaria trocar um comando "strcpy" por outro equivalente, como "stricpy"), é, no mí¬ 
nimo, temerário. 

O segundo é que o grande volume de alertas que não foram considerados sufici¬ 
entemente pertinentes para serem tratados provavelmente dificultaria a própria análi¬ 
se dos desenvolvedores durante o "processo de integração contínua do software", 
pois leva a relatórios um tanto poluídos por parte da ferramenta de análise estática. 

Cabe notar que tal poluição de informações pode ser tratada com filtros configu¬ 
rados na própria ferramenta, os quais impediriam que alguns alertas fossem gerados. 
Entretanto, como tal abordagem melhoraria a capacidade de gerenciamento de aler¬ 
tas ao custo de uma menor visibilidade das potenciais vulnerabilidades existentes, se¬ 
ria mais adequado solucionar o problema apontado pela ferramenta de análise com a 
correção do próprio software sendo analisado, ao invés de configurar a ferramenta 
para ignorá-lo. 

Assim, a recomendação dada com relação a esse ponto é que ferramentas de 
análise estática como o CppCheck e outras adicionais continuem sendo utilizadas, mas 
que todos os pontos por elas apontados sejam devidamente tratados no sentido de 
garantir a quantidade de erros/alertas gerados seja mínima ou nula. 

Além do código-fonte da urna em si, é importante considerar também o sistema 
operacional sobre o qual o sistema é executado. Especificamente para as urnas eletrô¬ 
nicas, 0 TSE optou por utilizar o sistema operacional de software livre Linux com algu¬ 
mas adaptações. O Linux foi congelado na versão 2.6.16.62 de 2009. 

Por ser esta uma versão antiga, várias atualizações^°'^ e implementações de segu¬ 
rança, feitas pelo projeto Linux ao longo dos últimos 6 anos, ficaram de fora da versão 
congelada pelo TSE. 

Desconsiderar essas atualizações pode trazer consequências graves. Afinal, um 
software, por ter código aberto, não é automaticamente "seguro" ou "confiável", pois 
todo 0 processo de verificação de sua qualidade depende da efetiva colaboração da 
comunidade de desenvolvedores (e, idealmente, utilizadores) no sentido de revisá-lo e 

104 Atualmente, já está testada e disponível ao menos a versão 3.16.0.41 do Kernel do Linnx. 
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evitar a introdução de falhas propositais ou não-intencionais, estando essas análises 
dentre as fontes de atualizações periódicas. 

Há casos reportados de softwares de código aberto amplamente utilizados que 
apresentavam falhas graves de segurança. Por exemplo, em 2014, descobriu-se que 
um software amplamente utilizado para estabelecimento de conexões seguras com 
servidores web, o OpenSSL, apresentava uma séria falha, permitindo o roubo de infor¬ 
mações secretas usadas para proteger essas comunicações^°^ Apesar de grave, o pro¬ 
blema permaneceu desapercebido desde sua introdução por um programador voluntá¬ 
rio em 2011, provavelmente devido à relativa simplicidade do erro. 

Ainda pior, existem casos relatados na prática de alterações feitas em softwares 
abertos ou ataques a repositórios desses softwares com o propósito específico de in¬ 
troduzir portas dos fundos que, embora não facilmente detectáveis pelos membros da 
comunidade de desenvolvedores, poderiam ser facilmente exploradas pelo usuário 
responsável pela alteração realizada. 

Exemplos conhecidos incluem: a tentativa (aparentemente fracassada) de intro¬ 
dução de uma sutil porta dos fundos no Linux em 2003^°®; e o caso de 2012 da efetiva 
introdução de uma porta dos fundos em um dos repositórios do software de código 
aberto phpMyAdmin (usado para gerenciamento de bancos de dados) 

Ademais, mesmo se fosse possível assumir que a versão do Linux congelada es¬ 
teja completamente livre de vulnerabilidades, alterações no kerneF°^, em device-dri- 
vers^°^ e em utilitários do sistema operacional têm sido feitas pelo TSE e seus fornece- 
dores“°. 

Tais alterações potencialmente abrem espaço para brechas de segurança, especi¬ 
almente considerando que mesmo as maiores empresas que desenvolvem sistemas 
operacionais no mundo, como Microsoft, Apple e Google, não conseguem testar sozi- 

105 Heartbleed. http://heartbleed.com/ 

106 K. Poulsen.'Thwarted Linux backdoor hints at smarter hacks". SecurityFocus - 2003. Disponível em: 
http://www.securityfocus.com/news/7388 

107 D. Goodin. "Questions abound as malicious phpMyAdmin backdoor found on SourceForge site". ArsTechnica - 
2012. Disponível em: http ://arstechnica.com/security/2012/09/questions-abound-as-malicious-phpmyadmín- 
backdoor-found-on-sourceforge-site/ 

108 Kernel é o nome dado ao núcleo do software do sistema operacional Linux. 

109 Device-driver é o nome dado a trechos do software do sistema operacional, encarregados de fazer a interface entre o 
Kernel e os diversos equipamentos instalados, como o teclado, monitores, impressoras, leitoras de digitais, etc. 

110 Nesse caso, está-se referindo a Diebold, fornecedora dos device-drivers das urnas eletrônicas que produz. 


p. 105 de 217 



nhas as alterações que elas fazem em seus sistemas. Dependem de "testadores alfa", 
de "testadores beta" e de milhões de utilizadores que experimentam seus sistemas 
operacionais e reportam eventuais falhas. É graças a esse processo de intensos testes 
que, com grande frequência, estas empresas lançam correções de segurança para 
problemas encontrados. 

O Linux conta com uma comunidade enorme, que frequentemente analisa os có¬ 
digos fontes, em busca de possíveis falhas, e também conta com milhões de usuários 
reportando problemas diariamente. 

Ao adotar um sistema aberto (Linux) transformado em sistema fechado (que de¬ 
nomina UEnux), 0 administrador eleitoral coloca-se em uma situação crítica relativa à 
confiabilidade do software que produz: usa um software livre, mas de maneira fecha¬ 
da; de modo que não possui uma rede de milhões de usuários para testar a funcionali¬ 
dade das alterações que faz, nem possui um grupo externo de testadores alfa e beta. 

Assim, 0 UEnux do TSE combina os problemas do "software livre" (diversos de¬ 
senvolvedores, com níveis de experiência e idoneidade distintos) com os problemas 
dos "softwares proprietários" (base reduzida de testadores), sem as principais vanta¬ 
gens de cada um desses dois paradigmas de desenvolvimento. Ou seja, se torna ques¬ 
tionável a eficiência do TSE em realmente testar o sistema operacional que desenvol¬ 
ve para as urnas eletrônicas brasileiras. 

Apesar da importância de se verificar esses aspectos, a análise das alterações 
feitas no Linux original ficou comprometida pelo pouco tempo disponível e, principal¬ 
mente, pelas restrições impostas contra a análise dinâmica do software. 

Foram observados alguns pontos críticos, que mereciam maior atenção e uma 
análise especifica das implicações das alterações, por exemplo: 

a) Não foi encontrada a verificação de integridade do /oader^“ do Linux pelos loa- 
ders anteriores. Caso isso se confirme, pode configurar uma gravíssima falha de 
segurança“^; 


111 Loader é o nome dado a um trecho do software básico responsável por carregar na memória operacional o próximo 
sistema a ser executado. Costuma haver um grupo de loaders que carregam, em sequência, o código BIOS, os códi¬ 
gos adicionais de segurança, o sistema operacional e, finalmente, os device-drivers e demais configurações de inici¬ 
ação. 

112 Muitos dos malwares mais nocivos, que conseguem evitar sua eliminação posterior, costumam disputar por assumir 
o controle do sistema operacional justamente nessa fase de carga dos loaders. 
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b) A implementação da criptografia do sistema de arquivos {file system^^^) é simples, 
feita em bloco, setor a setor. Os locais no código compilado onde é feita a cifra- 
ção e decifração estão sempre associados a chamadas de leitura e escrita de se¬ 
tores, ficando muito fácil localizá-los para efetuar um ataque que localize e identi¬ 
fique a chave de segurança. Salvo melhor análise, a criptografia do sistema de 
arquivos é passível de ser quebrada; 

c) A verificação do hash do sistema operacional está implementada de forma que 
facilita a sua localização no código compilado do seu loader (carregador do códi¬ 
go). Por ser um trecho de código pequeno e simples de ser entendido, fica fácil 
encontrar o valor do hash a ser verificado para burlar a verificação. Ou seja, essa 
verificação se caracteriza mais como uma verificação contra falhas (segurança 
no sentido de safety) do que um procedimento de segurança em contra ataques 

intencionais (segurança no sentido de security)] 

d) O código dos aplicativos não possui qualquer defesa contra engenharia rever- 

sa^^"'. Assim, a verificação da assinatura digital na carga de cada aplicativo fica lo¬ 
calizada em um ponto do código compilado que não é de difícil remoção para 
quem a ele tenha acesso. Consequentemente, a cadeia de certificação, bem 

como a própria assinatura digital, pode ser atacada; 

e) Verificou-se a existência de várias ferramentas e utilitários de desenvolvimento e 

de depuração, que possibilitam a suspensão ou desvio de elementos de proteção 
do sistema. Não houve oportunidade para se verificar como seu uso é controlado 
e se poderiam ter sido usados em uma quebra de segurança. Eles podem ser 

comparados ãs "portas-do-fundo" durante o processo de produção do software] 

f) O conjunto dos programas tem uma complexidade muito grande, o que afeta sua 

confiabilidade. Quanto mais complexo um software, maiores as chances de erros 
e vulnerabilidades e maior facilidade em se esconder algum trecho de código ma¬ 
licioso. 

No entanto, com as condições restritas de trabalho (pouco tempo e somente 
análise estática) o TSE não possibilitou desenvolver uma análise mais elaborada e 
conclusiva sobre essas potenciais vulnerabilidades encontradas. 


113 File System é o nome dado a uma camada do software básico encarregada da interface entre os programas que que¬ 
rem ler ou gravar dados e arquivos nos dispositivos de memória não-volatil. 

114 Engenharia reversa ou “desassembler” são as técnicas de análise dos códigos compilados para descobrir sua funci¬ 
onalidade e eventuais vulnerabilidades resultantes do processo de compilação e que não se encontra nos códigos- 
fonte. 
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4.4.2.5.9. Conclusões da Análise dos Fontes 


Devido às restrições impostas e acima descritas, os auditores consideram que a 
validação do software usado nas urnas eletrônicas em 2014 foi totalmente prejudica¬ 
da, tornando-se impossível fazer qualquer afirmação sobre seu funcionamento correto 
e idôneo. 

Por outro lado, mesmo com as restrições enfrentadas, conseguiu-se verificar a 
existência de diversas vulnerabilidades que poderiam ser exploradas, ao menos em 
tese, em ataques externos e internos ao software original que resultassem em distor¬ 
ção na apuração da verdade eleitoral, não tendo sido possível confirmar ou refutar se 
as mesmas foram exploradas nas eleições presidenciais de 2014. 

A análise estática do código revelou inúmeras ocorrências de alertas e até erros 
não tratados. 

A ausência do código do BIOS e do MSD não permitiu se verificar se é efetiva a 
alegada defesa contra o "Ataque de Princeton" e nem se ela impede, de fato, a exis¬ 
tência de "portas-dos-fundos". 

Não foi permitido determinar se o código-fonte apresentado pelo CEPESC/ABIN 
era o mesmo que, depois de compilado, foi incluído no software usado nas urnas ele¬ 
trônicas. 

Verificou-se que pessoas externas ao TSE, como os funcionários da ABIN, da em¬ 
presa Diebold, da empresa Módulo e das empresas contratadas pelos TRE's para 
"exercitação das urnas" (dentre as quais se inclui a empresa Smartmatic) têm mo¬ 
mentos de acesso ao software instalado em pontos críticos das urnas (BIOS e MSD) e 
nos sistemas de preparação e geração de mídias, podendo, ao menos em tese, inserir 
" portas-dos-fundos " para posterior exploração. 

O mesmo ocorre com relação a uma vasta gama de funcionários da própria 
STI/TSE que têm acesso a pontos críticos do sistema, como a posse de chaves de veri¬ 
ficação, a compilação dos códigos e aos próprios códigos compilados. 

Esse risco de ataque interno ao software é enormemente agravado por dois moti¬ 
vos interconectados: 

a) o modelo de máquinas de votar adotado pelo TSE é essencialmente DEPEN¬ 
DENTE da segurança do software, impossibilitando qualquer auditoria do resulta¬ 
do por meio independente do próprio software] 
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b) A auditoria (validação) externa do software fica totalmente impossibilitada pelas 
restrições impostas pela própria STI/TSE. 

Nesses termos, com a impossibilidade de se conferir o registro e a contagem dos 
votos em cada urna eletrônica devido a inexistência do VVPAT ou voto impresso confe- 
rível pelo eleitor, e com as restrições encontradas para validação segura do software 
usado nessas urnas, considera-se impossível determinar a integridade do software 
usado e, por consequência, se foram justos o registro e a apuração dos votos nas ur¬ 

nas eletrônicas no 2^ turno da eleição de 2014 . 


4.4.2.6. Análise dos Compiladores 

Atividade prevista no PTI: anaiisar os programas compiiadores utiiizados quan¬ 
to a sua autenticidade e integridade 


A análise da autenticidade e integridade dos programas compiladores usados na 
confecção do software eleitoral final se faz necessária porque o momento da compila¬ 
ção é uma porta para a inserção de maiware que venha permitir eventuais fraudes no 
registro e apuração dos votos. 

Essa possibilidade de inserção de maiware via programa compiladores é bem do¬ 
cumentada na literatura acadêmica há décadas^^^ onde se descreve como se pode 
adulterar programas compiladores, ou suas bibliotecas, para inserir brechas para ata¬ 
que externo iporta-dos-fundos) ou funcionalidades extras escondidas {ovos-de-páscoa) 
nos programas neles compilados. 

Por esta razão, a verificação da integridade do compilador é uma tarefa dada 
como necessária para se atingir os mais altos níveis de garantia de confiança especifi¬ 
cados em normas internacionais de desenvolvimento de software seguro, como é o 
caso do ISO/IEC 15408 - "Common Criteria". 

Segundo informação da STI na resposta ao Pedido de Esclarecimento 17, foi usa¬ 
do 0 compilador GNU GCC - versão 4.7.2, de código aberto, o que viabiliza totalmente 
0 ataque descrito na literatura já citada acima. Um atacante interno poderia, ao me¬ 


us Thompson, K. - Reflections on Trusting Trust: USA, Communications of the ACM, Volume 27 Number 8, August 
1984 - http://dl.acm. org/citation.cfm?id=358210&coll=ACM&dl=ACM 
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nos em tese, alterar o funcionamento do compilador, para inserir maiware no código 
compilado, mesmo quando o código-fonte original esteja integro. 

Agravando esse risco, foi dito na mesma resposta da STI que: 

Não há políticas estabelecidas pela instituição (TSE) de audi¬ 
toria sobre esses compiladores. 

Neste caso, perde-se a maior vantagem de se utilizar um compilador de código 
aberto, que é a capacidade de realizar-se uma inspeção profunda de seu conteúdo 
para garantir que não há potenciais brechas de segurança nos mesmos. 

Sob essas circunstâncias, uma eventual fraude introduzida no compilador é de 
muito difícil detecção, e passaria despercebida, e até seria protegida, por todos os me¬ 
canismos de segurança que a STI adotou na produção do software eleitoral usado em 
2014. 

Dados estes exemplos contemporâneos e com a reconhecida inexistência de uma 
política da STI/TSE para a segurança dos compiladores , não é inconcebível que a urna 
eletrônica brasileira esteja sujeita a vulnerabilidades introduzidas nesses softwares, 
possibilidade que somente poderia ser descartada após uma efetiva análise e audito¬ 
ria dos mesmos. 

Apesar do exposto, não foi permitido aos auditores do PSDB ter acesso aos pro¬ 
gramas compiladores para verificar a integridade do compilador utilizado , sob a alega¬ 
ção de que esta seria uma atividade que extrapola o concedido na petição inicial. 

Ademais, os compiladores aleaadamente utilizados não foram gravados e lacra¬ 
dos junto aos códiaos-fonte dos programas no DVD oficial . Com isso, também não se¬ 
ria possível a um auditor externo determinar qual realmente foi compilador utilizado e 
se nele havia alguma adulteração. 

Em resumo, a falta de controle da STI sobre os compiladores utilizados caracteri¬ 
za grande vulnerabilidade que poderia ser explorada por atacantes internos, sem dei¬ 
xar rastros que pudessem ser detectados em qualquer auditoria externa sobre o có¬ 
digo-fonte original. 

Dessa forma, todo o processo de produção do software eleitoral, independente 
da correção dos programas fontes, está vulnerável ao ataque via compilador . Se al¬ 
guém internamente efetuar tal ataque, não seria detectado pelas rotinas de seguran¬ 
ça do próprio TSE e nem pelos agentes externos que apenas possam assistir os traba- 
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lhos de compilação, como é o caso dos representantes do MP, da OAB e dos Partidos 
que comparecem às cerimônias oficiais no TSE. 

Essa condição reforça a conclusão acima de que é impossível determinar se esta¬ 
va íntegro o software usado nas urnas durante o 2^ turno de 2014 . 


4.4.2.7. Auditoria da Compiiação 

Atividade prevista no PTI: recompiiar o software para fazer uma auditoria da 
compiiação, comparando com os códigos executáveis gravados no mesmo 
DVD 


A conferência dos programas executáveis faz parte dos procedimentos de valida¬ 
ção do software e, no caso presente, consiste em verificar se os executáveis derivam 
dos programas-fonte analisados e aprovados e se são eles mesmos que foram grava¬ 
dos no DVD oficial. 

Os procedimentos da compilação são de importância vital para a segurança do 
sistema: todo ambiente deveria ser auditado antes, durante e depois da compilação, 
por meio de técnicas de auditoria estática e também dinâmica da compilação. 

Como exemplo, apresentam-se alguns modos de inserção de código malicioso 
que podem ser desenvolvidos durante a compilação: 

a) Um “vírus" instalado no ambiente de compilação altera algum executável re- 
cém-gerado; 

b) Algum "script" (roteiro de tarefas) é alterado exatamente antes do início da 

compilação, adulterando o processo que deveria ser realizado; 

c) Algum "path" (localização) do sistema é alterado no início ou durante a compi¬ 
lação para que o compilador inclua bibliotecas (porções de código) incorretas 
no sistema; 

d) Alguém, na rede local ou em algum lugar remoto, altera algum arquivo, logo 
antes, durante ou logo depois da compilação. 

Pela regulamentação estabelecida pela autoridade eleitoral, os representantes 
dos Partidos, da OAB e do MP só podem acompanhar os procedimentos da compilação 
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oficial como observadores^®, o que não permite fazer qualquer verificação significativa 
e minimamente confiável do ambiente em que ocorre tal procedimento. 

Na presente Auditoria Especial, o TSE negou acesso dos auditores do PSDB aos 
programas executáveis contidos no DVD oficial, mesmo estando a possibilidade de 
análise desses programas pelos partidos prevista no Art. 66 da Lei 9.504/1997 e no 
art. 5^ da Res. TSE 23.39/2013. 

Também foi negada permissão para se proceder a uma recompilação dos progra- 
mas-fonte que pudesse demonstrar que os executáveis produzidos em setembro de 
2014 de fato derivavam daqueles disponibilizados para análise. 

O argumento apresentado pela STI para se recusar a apresentar os programas 
executáveis contidos no DVD foi o seguinte: 

(resp. ao ped.33) Embora a lei e a resolução possibilitem a 
análise de programas-fonte e programas executáveis, há de 
registrar que os artigos citados fazem menção a um período 
que se encerra com a assinatura diaital e lacracão dos siste¬ 

mas eleitorais ... 

... Além disso, as chaves de assinatura e de criptografia de 
arquivos poderiam ser extraídas do binário e, considerando 
que os programas executáveis são oficiais, ou seja, ainda 
são utilizados nas eleições suplementares de 2012, por pre¬ 
caução, decidiu-se por não colocar disponíveis os binários, 
calcando para tanto, na decisão do presidente, de que pro¬ 
cedimentos que extrapolassem a simples análise de códigos- 
fonte deveriam ser precedidos de plano de uso a ser aprova¬ 
do pelo TSE" (grifo nosso) 

Destaque-se que: 

a) Foi o Presidente do TSE que, acatando sugestão da STI, decidiu que a Res. 
TSE 23.397/13 seria aplicada aos procedimentos da auditoria especial do 
PSDB - com isso, a primeira parte do argumento da STI, de que a Resolução 
não se aplicaria a essa fase da auditoria, se mostra casuística e contraditória; 


116 Em 2014, a cerimônia de compilação e lacração dos sistemas, de três dias de duração, só foi parcialmente acompa¬ 
nhada (observada) por representantes do PDT e do PC-do-B/MA, entre os quais um dos autores do presente relató¬ 
rio de auditoria. Os representantes da OAB e do MP compareceram apenas nos momentos finais da cerimônia, para 
assinarem os programas já compilados, sem terem acompanhado o processo de compilação propriamente dito. 
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b) A solicitação dos auditores se referia aos programas executáveis de 2014 e 
não aos executáveis de eleições municipais suplementares de 2012. Estes, 
embora presentes do DVD, não foram solicitados - com isso, a segunda parte 
do argumento da STI não se aplica; 

c) O art. 66 da lei 9.504/97 e o art. 5° da Res. 23.397/13 não fazem menção ã 
apresentação de planos de uso e nem que partidos devam se restringir a 
“análise de códigos-fonte”, pelo contrário, faz explícita menção ã análise dos 
programas executáveis - com isso, a terceira e última parte do argumento da 
STI não tem fundamento legal e revela autoritarismo e falta de transparência. 

Como justificativa para não permitir a recompilação dos códigos-fonte, foi dito 
que as configurações adotadas no processo de compilação de 2014, não permitiam re¬ 
produzir os executáveis de maneira idêntica a partir dos mesmos códigos-fonte . 

Foram infrutíferas as tentativas dos auditores, em uma reunião na STI no dia 06 
de maio de 2015 e através do Pedido de Esclarecimentos 20, de se desenvolver alter¬ 
nativas de uma recompilação parcial e controlada que permitissem a verificação dese¬ 
jada. A resposta final da STI foi simplesmente que o pedido foi recusado pelo Ministro 
Presidente do TSE no dia 11 de maio de 2005, por ser considerado procedimento dife¬ 
rente dos autorizados anteriormente. 

Constatou-se ainda, como agravante, que os procedimentos de compilação de¬ 
senvolvidos pela STI/TSE não foram planejados para ser este um processo determinís- 
tico e que leve em conta a possibilidade de vir a ser auditado posteriormente. 

Especificamente, as configurações, as variáveis gerais de compilação e os meta- 
comandos escolhidos e utilizados não permitiam sua reprodução posterior sob audito¬ 
ria, pois induzem a compilação a se comportar como um processo não-determinístico, 
gerando códigos executáveis com diferenças a cada compilação. 

Mesmo se tivesse sido permitida a recompilação, isso dificultaria, ou mesmo invi¬ 
abilizaria, gerar novamente os binários para se verificar se os executáveis que estão 
nas urnas (utilizadas em 2014) são realmente originados dos códigos-fontes apresen¬ 
tados. 

Enfim, com os procedimentos de compilação adotados e sob as restrições impos¬ 
tas, tornou-se impossível se verificar se os executáveis lacrados no DVD oficial de 
2014 derivaram mesmo dos código-fontes apresentados para análise . 

Em especial, com relação ao código desenvolvido pela CEPESC/ABIN, a situação 
foi ainda mais obscura. Com a ausência dos códigos-fonte no DVD oficial, não se pôde 
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determinar, com certeza, nem mesmo se os códigos apresentados para avaliação dos 
auditores eram realmente os que estavam presentes nos equipamentos de compilação 
durante a Cerimônia Pública de Lacração. 


4.4.2.8. Certificação do Software nas Urnas 

Atividade prevista no PTI: ter acesso a uma amostra de urnas reaimente usa¬ 
das na eieição para comparação dos códigos executáveis encontrados com os 
esperados e também para efetuar testes e mui ando uma votação reai, para ve¬ 
rificar seu correto funcionamento 


A etapa de certificação do software consiste em se verificar se o software execu¬ 
tável carregado nas urnas no dia da eleição é idêntico ao software validado. 

Normalmente é uma atividade simples de ser executada, pelo uso de recursos de 
assinatura digital e resumo criptográfico (/lasb)^^ mas que tem que enfrentar um uni¬ 
verso de mais de 420 mil urnas espalhadas pelo país, a ser auditado. 

Além dessa dificuldade natural do porte, a certificação do software não pôde ser 
desenvolvida pelos auditores de forma correta e confiável porque a autoridade eleito¬ 
ral não permite a verificação direta das memórias das urnas para confirmar se o 
software nelas gravado contém a assinatura válida esperada. 

Usar a própria urna eletrônica para, por via indireta, recalcular os hashes dos 
aplicativos nela gravados, como regulamenta a Res. 23.397/2013, não tem utilidade 
para auditoria. Isso ocorre porque, se a própria urna já tivesse detectado um erro no 
hash, ela se auto bloquearia e nem executaria o programa verificador de hash. 

Na hipótese de algum código malicioso ter sido inserido com sucesso dentro do 
software da urna, ele também fraudaria o cálculo do hash, de maneira que não o re¬ 
calcularia e sim simularia esse cálculo, mostrando os resultados já conhecidos. 


117 Resumo criptográfico, ou “hash”, é uma técnica para detectar adulterações num arquivo digital. Conceitualmente é 
similar aos dígitos verificadores do CPF: se for alterado qualquer número no documento digital, os dígitos verifica¬ 
dores ou hash também se alteram. 
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A verificação direta do conteúdo das mídias de memória das urnas pelos fiscais 
dos partidos, por outro lado, foi recomendada no Relatório Unicamp^^^ de 2002, de¬ 
pois dos seus autores terem constatado, na sua seção 4.3, o seguinte: 

... não há mecanismos simples e eficazes que permitam que 
representantes de algum partido, em qualquer lugar do país, 
possam confirmar que os programas usados na UE corres¬ 
pondem fiel mente aos mesmos que foram lacrados e guar¬ 
dados no TSE, exceto através de uma auditoria 

Para contornar esse problema, os professores contratados pelo TSE em 2002 
apresentaram a seguinte recomendação na seção 5.5 do seu relatório: 

"5.5 Verificação, por representantes partidários, dos resu¬ 
mos criptográficos dos arquivos instalados nas urnas insemi¬ 
nadas ... 

Como sugestões para a implementação da verificação da au¬ 
tenticidade dos programas, podem ser consideradas as se¬ 
guintes alternativas: 

• utilização de um flash ca rd externo (que permite contro¬ 
lar a inicialização da urna) que contenha um programa 
verificador; 

• verificação (direta) do flash card interno em computa¬ 
dor independente.... 

• distribuição de um programa fonte de verificação, que pu¬ 
desse ser analisado e compilado independentemente... 

Desde então, essas três alternativas da recomendação da Unicamp nunca foram 
permitidas pelo TSE . No seu lugar, o TSE oferece duas alternativas que impedem o 
controle da auditoria pelos auditores externos, tais como: 

• utilização de um pen-drive (que não possibilita contro¬ 
lar a inicialização da urna) com um apontador para um 
programa verificador compilado pelo TSE e previamente gra¬ 
vado na própria urna; 

• autoverificação (indireta), ou pseudo-verificação, do flash 

card interno por um programa nele incluído que imprime 

uma tabela de hashes pré-conhecida. 

obs.: os programas de autoverificação permitidos (VPP ou 

Programa dos Partidos) são compilados peio próprio TSE 

118 Tozzi C. L. et all - Avaliação do Sistema Informatizado de Eleições (Urna Eletrônica) : Brasil - UNICAMP, maio 
de 2002: http://www.tse.jus.br/arquivos/relatorio-final-de-avaliacao-do-sistema-informatizado-das-eleicoes 
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As características destacadas em negrito são aquelas que retiram dos auditores 
externos a possibilidade de controlar o ato de verificação direta da integridade dos 
programas executáveis carregados nas urnas. Considera-se muito baixo o nível de 
confiabilidade dessas alternativas de autoverificação oferecidas pelo TSE. 

Em resumo, para se verificar de forma confiável os hashes dos arquivos gravados 
na memória das urnas, o cálculo tem que ser feito em outro equipamento (que seja 
confiável) que leia diretamente os dados extraídos do cartão de memória {flash-card 
interna da urna) que se quer verificar. 

Apesar do procedimento permitido ser de baixa confiabilidade, os auditores reco¬ 
lheram as tabelas de hash (resumos criptográficos) de 684 urnas durante suas visitas 
aos TRE's listados na seção 4.4.1, p. 73. Nenhuma discrepância foi encontrada nas ta¬ 
belas obtidas com o uso do programa VPP carregado nas próprias urnas. 

Sob as restrições impostas pela autoridade eleitoral, de não permitir acesso dire¬ 
to às memórias das urnas, ficou totalmente prejudicada a possibilidade dos auditores 
procederem, com razoável nível de confiança, a certificação do software embarcado 

nas urnas utilizadas no 2^ turno de 2014. 


4.4.2.9. Auditorias Internas 

Atividade prevista no PTI: avaiiar o resuitado e a eficácia das auditorias inter¬ 
nas posteriores às eieiçôes de 2014, desenvoividas sobre os equipamentos 
usados 


Entendia-se que deveria existir um plano de auditoria interna automática, a ser 
desenvolvido depois das eleições, que procurasse verificar, por amostragem, se o con¬ 
teúdo das memórias das urnas eletrônicas não apresentava sinais ou rastros de mau 
uso ou de mau funcionamento. 

Por meio do Pedido de Esclarecimento 13, foi solicitado o seguinte: 

Soiicitamos a informação sobre o número de urnas eietrôni- 
cas que foram objeto de perícia direta, peio TSE ou por ter¬ 
ceiros nas Eieiçôes de 2014. Consideramos perícia direta a 
anáiise forense sobre as memórias não voiáteis (Fiash Inter¬ 
na, Fiash Externa, BIOS, Hardware de segurança, entre ou¬ 
tros) 
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A resposta obtida foi a seguinte: 

Não é de conhecimento da STI/TSE qualquer perícia direta 
em urnas eletrônicas para análise de memórias não-voláteis. 

Assim, essa tarefa do PTI ficou totalmente prejudicada, uma vez que a autoridade 
eleitoral não efetua qualquer auditoria posterior para avaliar o comportamento real 
dos equipamentos eleitorais, tentando de identificar potenciais tentativas de fraude ou 
mesmo refutar denúncias de ocorrências indevidas 


4.4.2.10. Lacres das Urnas Eletrônicas 

Atividade prevista no PTI: avaliar o sistema de lacres usados nas urnas eletrô¬ 
nicas como meio para revelar uma tentativa de adulteração do software 


Embora a autoridade eleitoral tenha recusado informar quais seriam as salva¬ 
guardas de segurança do sistema eleitoral informatizado, depreende-se do apresenta¬ 
do na página oficial do TSE que os lacres usados nas urnas eletrônicas têm a função 
importante de revelar eventuais tentativas de acesso para modificação do software 
carregado nas mesmas. 

O uso dos lacres está normatizado na Resolução TSE 23.395/2013, que prevê a 
sua aplicação logo após a carga do software nas urnas e determina que eles devem 
"ser confeccionados em material autoadesivo de segurança que evidencie sua retira¬ 
da após a aplicação". 

São colados seis lacres em cada urna eletrônica. Embora todos eles sejam impor¬ 
tantes, considera-se que dois deles apresentam, se rompidos, maior risco de adultera¬ 
ção do software carregado. São eles os seguintes, conforme definidos no art. 4^ da 
Res. TSE 23.395/2013: 

III - lacre para a tampa do cartão de memória: impedir 
que se tenha acesso ao cartão de memória de votação origi¬ 
nalmente instalado no momento da carga ou que ele seja re¬ 
movido, modificado, substituído ou danificado; 

VII - lacre do gabinete do Terminal do Eleitor (TE): impe¬ 
dir a abertura do TE e o acesso indevido aos mecanismos 
eletrônicos internos da urna; 
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Durante o recolhimento dos dados nos TRE's, foi avaliado o estado dos lacres das 
684 urnas eletrônicas disponibilizadas. Todos foram filmados e/ou fotografados e se 
solicitou que constassem das atas oficiais os casos de lacres irregulares. 

Foram encontradas as seguintes irregularidades nos lacres: 

a) lacres com sinal de rompimento - com as letras TSE legíveis no seu fundo; 

b) lacres descolados ou que se desprendiam com facilidade sem apresentar si¬ 
nais de rompimento; 

c) lacres com numeração diferente da que constava no documento de carga. 

Encontraram-se irregularidades nos lacres em, aproximadamente, 21% das ur¬ 

nas examinadas , que foram devidamente registradas nas atas nos TRE's. 

Constatou-se, também, que nesses casos nenhuma observação constava nas res¬ 
pectivas atas da seção eleitoral e que nenhuma providência administrativa foi gerada 
por motivo de lacres danificados ou soltos durante a eleição. 

Também foram feitos testes com os lacres durante o período de análise do 
software nas dependências do TSE, onde se constatou o seguinte: 

a) os lacres demoram algumas horas depois de aplicados para efetivamente 

aderirem e passarem a funcionar adequadamente; 

b) ao serem retirados, depois de esperado o tempo para aderência correto, sur¬ 
gem as letras TSE sobre o fundo branco dos lacres, revelando a sua retirada; 

c) se, depois de retirados, forem colocados sobre uma superfície branca as le¬ 
tras TSE ficam camufladas e difíceis de serem percebidas a média distância e 
sem uma observação atenta e profissional. 

Se um lacre da tampa do cartão de memória ou do gabinete do eleitor for retira¬ 
do com cuidado, colado sobre um papel adesivo branco e depois reaplicado no seu lu¬ 
gar, facilmente passará despercebido por uma inspeção não profissional como a que 
normalmente é feita pelos eleitores e fiscais de partidos nas seções eleitorais. 

Sob essas circunstâncias, a conclusão é que, embora importantes, os lacres colo¬ 
cados nas urnas são só parcialmente efetivos em sua função de revelar eventuais ata¬ 
ques ao software , uma vez que podem ser burladas as inspeções amadoras e desaten¬ 
tas que normalmente ocorrem e, principalmente, porque não se encontrou qualquer 
caso de lacres rompidos ou descolados que tivesse disparado alguma atividade de se¬ 

gurança para sua avaliação e correção . 
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4.4.2.11. Teste de Votação Paralela 


Atividade prevista no PTI: avaiiar os Testes de Votação Paraieia, reaiizados nos 
TRE, quanto a sua efetividade para verificar a integridade do software das ur¬ 
nas quando em uso em condições normais de votação 


0 Teste de Votação Paralela é atividade obrigatória estabelecida no § 6^ do art. 

66 da Lei 9.504/1997, com o objetivo de submeter uma amostra de urnas eletrônicas, 
normalmente preparadas, a um teste de votação controlada e desenvolvido sob condi¬ 
ções normais de uso . 

Trata-se de um tipo de teste que, se bem realizado , pode denunciar eventual fun¬ 
cionamento irregular do software embarcado nas urnas quanto ao registro e apuração 
dos votos, tornando-se uma ferramenta de detecção de fraudes por adulteração mali¬ 
ciosa do software embarcado que se aproveite das vulnerabilidades descritas na seção 
4.4.2.4. 

O correto desenvolvimento do Teste de Votação Paralela ganha mais importância 
considerando a dependência e simultânea falta de transparência do software eleitoral. 

O teste só poderia ser burlado por um software adulterado se este conseguisse, 
durante o seu funcionamento, detectar condições ambientais diferentes do normal e 
percebesse que está sob o teste e, então, abortasse a fraude. Assim preparado, um 
software adulterado passaria pelo teste sem apresentar irregularidades, mas desviaria 
votos no seu funcionamento normal nas seções eleitorais. 

Tal preocupação é reforçada pela existência de casos reais de softwares que 
apresentam comportamento indevido apenas quando certas condições são satisfeitas, 
ameaça esta conhecida genericamente como "bomba iógica". 

Um exemplo notório deste tipo de código malicioso refere-se a um caso de tenta¬ 
tiva de fraude bancária ocorrido na década de 90 nos EUA: neste caso, um programa¬ 
dor inseriu em 1996 uma bomba lógica no sistema do Deutsche Bank, a qual seria ati¬ 
vada quando o relógio do sistema atingisse o mês de julho de 2000^^®. 

Outros casos semelhantes de bombas lógicas ativadas pelo relógio do sistema 
(também denominadas de "bombas reiógio") ocorreram em 2006, em caso que levou 


119 The New York Times (2000). "Man Indicted In Computer Case". Disponível em: 
http://www.nytimes.eom/2000/02/10/business/man-indicted-in-computer-case.html 
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a danos superiores a 3 milhões de dólares à DBS PaineWebber^^°'^^\ em 2009, quando 
a empresa americana Transportation Security Administration (TSA) ficou incapaz de 
utilizar seus sistemas de verificação de passageiros (e.g., pessoas com mandados de 
prisão ou impedidas de voar)^^T 

Outra consideração é que, facilmente, um possível fraudador poderia criar uma 
forma de bloqueio da bomba lógica. Alguma sinalização externa, para avisar ao pro¬ 
grama fraudador para não se ativar. Por exemplo, apertar duas teclas "Corrige" em se¬ 
guida. 

O inverso também é válido, ou seja, pode-se fazer com que o trecho malicioso do 
código somente seja ativado após algum evento externo. Um evento poderia ser, por 
exemplo, um eleitor qualquer digitar uma sequência específica de teclas, durante a 
votação, 0 que provavelmente seria uma fraude mais viável em eleições municipais. 

Para a eleição de 2014, o Teste de Votação Paralela foi regulamentado no CAP. VII 
(Arts. 45 a 66) da Res. TSE 23.397/2013, onde são estabelecidos a amostragem a ser 
testada e os vários procedimentos de sorteio e transporte das urnas, da preparação e 
inserção dos votos e do encerramento do processo. Também é determinada a contra¬ 
tação de uma empresa para desenvolver uma auditoria do teste. 

Considerando que as urnas eletrônicas utilizadas na eleição normal são depen¬ 
dentes do software e não possibilitam uma auditoria contábil do resultado, que as res¬ 
trições à auditoria do software das urnas não permitiram descobrir se ele estava livre 
de erros que afetassem o resultado e que também se descobriu a existência de diver¬ 
sas vulnerabilidades que permitiriam um ataque interno ao software das urnas, a pre¬ 
sente auditoria procurou determinar a efetividade do Teste de Votação Paralela para 
detectar eventual software fraudulento , pela verificação dos procedimentos do teste, 
desde a amostragem até a emissão dos BU impressos, e se os mesmos foram corretos 
e efetivos para impedir que um software malicioso conseguisse burlar o teste. 

O Teste de Votação Paralela foi desenvolvido normalmente em todos os TRE's, no 
dia da eleição, em acordo com a regulamentação do TSE. 


120 S. Gaudin (2006). "Ex-UBS Systems Admin Sentenced To 97Months In Jail". Revista Information Week. Disponível 
em: http://www.informationweek.eom/ex-ubs-systems-admin-sentenced-to-97-months-in-jail/d/d-id/1049873? 

121 S. Gaudin (2006). "UBS Trial: Parts OfAttack Code Found At Defendanfs Home". Revista Information Week. Dis¬ 
ponível em: http://www.informationweek.com/ubs-trial-parts-of-attack-code-found-at-defendants-home/d/d- 
id/1044358? 

122 J. Ensslin (2011). "Springs man sent to prison for hacking into TSA Computer". The Gazette. Disponível em: 
http://gazette.com/article/110969 
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Foram recolhidas as informações digitais (arquivos de BU, LOG e RDV) sobre os 
Teste de Votação Paralela realizados em 16 estados, a saber: Acre, Alagoas, Amazo¬ 
nas, Bahia, Ceará, Distrito Federal, Goiás, Maranhão, Minas Gerais, Paraíba, Pará, Para¬ 
ná, Pernambuco, Piauí, Rio de Janeiro, São Paulo. Em alguns desses estados foi obtido 
acesso, também, à documentação em papel como a ata da cerimônia e o relatório da 
empresa auditora. 

Devido às limitações de tempo e recursos, não foram coletados os dados de 11 
estados: Amapá, Espírito Santo, Mato Grosso, Mato Grosso do Sul, Rondônia, Roraima, 
Rio Grande do Norte, Rio Grande do Sul, Santa Catarina, Sergipe, Tocantins. 


4.4.2.11.1. A Amostragem 

A amostra de urnas a serem testadas, determinada no art. 51 da Res. 
23.397/2013, estabelece a escolha de 2, 3 ou 4 urnas dependendo da quantidade de 
Seções Eleitorais de cada estado da Federação, resultando em uma amostra total de 
apenas 68 urnas testadas em todo o Brasil. 

Nos estados analisados na presente Auditoria, foram coletados os dados das 45 
urnas testadas, o que representa 130 milionésimos do universo de urnas usadas na 
eleição, assim distribuídas: 


Estado 

Testadas 

Usadas 

% 

Acre 

2 

1.636 

0,1222 

Alagoas 

2 

6.111 

0,0327 

Amazonas 

2 

6.528 

0,0306 

Bahia 

4 

31.268 

0,0128 

Ceará 

3 

19.921 

0,0151 

Distrito Federal 

2 

6.452 

0,0310 

Goiás 

2 

13.145 

0,0152 

Maranhão 

3 

15.463 

0,0194 

Minas Gerais 

4 

45.762 

0,0087 

Paraíba 

2 

9.523 

0,0210 

Pará 

3 

15.999 

0,0188 
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Estado 

Testadas 

Usadas 

% 

Paraná 

3 

25.090 

0,0120 

Pernambuco 

3 

18.791 

0,0160 

Piauí 

2 

7.937 

0,0252 

Rio de Janeiro 

4 

32.675 

0,0123 

São Paulo 

4 

88.753 

0,0045 

Total 

45 

345.054 

0,0130 


4.4.2.11.2. As Condições Normais de Votação 

0 ponto principal para que o Teste de Votação Paralela tenha efetividade é que as 
urnas devem ser testadas sob condições normais de uso, pois qualquer condição de 
uso que não respeitar o padrão normal poderá ser utilizado por um eventual código 
malicioso como sinalizador para abortar a bomba lógica e burlar o teste, derrubando 
toda sua possível eficácia. 

A importância da simulação de condições normais de votação durante o teste é 
reconhecida nas atas oficiais das Comissões de Votação Paralela constituída em cada 
TRE, como no caso do Paraná onde constava que (grifo nosso): 

...reunidos... para a realização, por amostragem, da audito¬ 
ria mediante votação paralela, para fins de verificação do 
funcionamento das urnas sob condições normais de uso ... 

A STI/TSE confirmou que a simulação de condições normais de uso é meta do tes¬ 
te, como consta em sua resposta ao Pedido de Esclarecimento 50, quando também in¬ 
formou que não faz qualquer verificação posterior nos arquivos de controle das urnas 
(LOG, RDV e BU) para procurar determinar se as condições normais de votação foram 
cumpridas (abaixo, grifos nossos): 

Pedido de esclarecimento 50 do PSDB -... Para que este 
método (de Votação Paralela) seja efetivo ... a urna deve ser 
testada em condições idênticas ou as mais próximas possí¬ 
veis ao do dia da votação. Queira esclarecer se este entendi¬ 
mento é correto. 

Solicitamos esclarecer se o STI/TSE realiza análises compa¬ 
rativas entre os registros produzidos pelas urnas seleciona- 
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das pela votação paralela e os registros produzidos pelas de¬ 
mais urnas. Caso afirmativo ... quais os resultados obtidos 
dessa comparação? 

Resposta da STI ao Pedido de esclarecimento 50 - A 

Resolução TSE 23.397/2013, capítulo VII, disciplina os pro¬ 
cedimentos de votação paralela. A votação paralela ocorre 
em condições idênticas à da votação normal, acrescida de 
mecanismos para batimento dos votos registrados na urna 
(todos os mecanismos descritos na resolução). A STI/TSE não 
realiza qualquer tipo de análise comparativa entre os regis¬ 

tros produzidos pelas urnas de votação paralela e as demais 
urnas . 

No entanto, a comparação dos registros de controle das urnas testadas na vota¬ 
ção paralela com aqueles das urnas usadas na eleição normal (2^ turno de 2014) reve¬ 
lou sinais claros de uso das urnas sob condições diferentes, permitindo a um eventual 
software adulterado detectar que estava sob o teste e abortar a fraude, para burlá-lo. 

São apresentados, a seguir, alguns desses sinais encontrados separando a análi¬ 
se em dois casos: das urnas com biometria e das urnas sem biometria. 

Na eleição de 2014 foram usadas 16,7% de urnas com biometria e a previsão do 
TSE é de chegar a 100% do eleitorado até 2019. Entre as urnas analisadas e que pas¬ 
saram pelo Teste de Votação Paralela no 2^ turno de 2014, 37,8% delas eram biométri- 
cas (17 de 45). 

No caso das urnas com biometria, é gritante a ocorrência de procedimentos total¬ 
mente diferentes e fora das condições normais de uso, como revela o quadro a seguir, 
extraído dos arquivos de LOG das respectivas urnas eletrônicas usadas em 2^ turno de 
eleições presidenciais: 


Urnas biométricas usadas 

na 

Média de liberação do voto pelo 

mesário 

Eleição de 2014 

6,7% 

Eleição de 2010 

7,1% 

Votação Paralela - 2014 

98,4% (min. de 94%) 
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Sob essas condições, fica muito simples para um eventual programa malicioso 
detectar, com elevada certeza , que está sob o Teste de Votação Paralela, bastando 
analisar o conteúdo do arquivo de LOG da urna para verificar a porcentagem de libera¬ 
ção de votos pelo mesário no lugar de liberação por identificação biométrica do elei¬ 
tor, e abortar a bomba lógica se esse valor estiver, por exemplo, acima de 80%. 

Na realidade, a ocorrência desse sinalizador é inevitável no caso das urnas bio- 
métricas: como não é possível levar os eleitores registrados nas urnas sorteadas ao 
TRE para simular uma votação normal, o procedimento determinado pelo TSE é que 
TODOS OS VOTOS sejam liberados por autorização do mesário e não, como é o nor¬ 
mal, por reconhecimento da biometria do eleitor. 

O resultado esperado da liberação pelo mesário sob essa regulamentação deve¬ 
ria ser de 100%. O fato de ter resultado 98,4% indica a ocorrência de outro problema 
potencialmente grave no sistema biométrico das urnas eletrônicas que é o falso-posi¬ 

tivo, isto é, quando o sistema aceita uma identificação biométrica de outra pessoa 
como se fosse a de um eleitor legítimo . O caso do falso-positivo será analisado com 
mais detalhes em seção adiante. 

A conclusão sobre este sinalizador é que as urnas com biometria, criadas pelo 
TSE sem haver obrigação legal para tal, simplesmente são incompatíveis com a lei 
que obriga a realização da Votação Paralela. 

Assim, 0 Teste de Votação Paralela é ineficaz para detectar fraudes por software 
em urnas biométricas que verifiquem a taxa de liberação de votos pelo mesário. 

Apenas para fins informativos, já que a distribuição de urnas biométricas pelo 
Brasil não é uniforme e nenhuma análise estatística comparativa de resultados pode¬ 
ria levar a conclusão de fraude via software, no 2^ turno de 2014 a distribuição dos vo¬ 
tos válidos foi a seguinte: 


Identificação do eleitor 

em 

Votos Dilma (%) 

Votos Aécío (%) 

Diferença 

porcentual 

Urnas com biometria 

9.435.906 (53,20%) 

8.300.934 (46,80%) 

6,40% 

Urnas sem biometria 

45.065.202 (51,32%) 

42.740.221 (48,68%) 

2,64% 

Total 

54.501.118 (51,64%) 

51.041.155 (48,36%) 

3,28% 
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No caso das urnas sem biometria, cuja tendência é deixarem de ser usadas no fu¬ 
turo, também existem alguns sinais que indicam a situação de teste, como mostrado 
no quadro a seguir, relativo ao 2^ turno de eleições presidenciais: 


Urnas sem biometria 

Horário da Zerési- 

Taxa de abs- 

Votos em 

Votos Nu- 

usadas na 

ma (média) 

tenção 

Branco 

los 

Eleição 2014 

7:26:52** 

21,10% 

1,70% 

4,53% 

Eleições anteriores* 

n/c 

20,32% 

1,84% 

4,41% 

Votação Paralela 2014 

7:49:02 

9,07% 

4,35% 

8,54% 


* media das eleições de 2002, 2006 e 2010 
** no Estado do Paraná 


A taxa de abstenção simulada no teste é menor que a metade da taxa histórica e 
a taxa de votos em branco e nulos simulada é maior que o dobro da taxa histórica. 

O horário médio de emissão da zerésima também é bastante diferente entre o si¬ 
mulado e o real de 2014 (não foi possível obter os dados de eleições anteriores). 

Assim, esses quatro índices também podem ser controlados por um eventual pro¬ 
grama malicioso que só desvie os votos, no final do dia, quando esses quatro índices 
estiverem simultaneamente em condições "normais" e não sob teste. 

Apurou-se situação na qual as condições do teste paralelo foram desenvolvidas 
de forma ainda mais diferente de uma votação normal: os respectivos arquivos de log 
revelam que, nas quatro urnas testadas (urnas sem biometria), foi executado o progra¬ 
ma antes do início da votação e, em todas elas, a zerésima só foi emitida cerca 

de uma hora depois do horário médio normal. 

Tal uso do VPP não ocorre, e nem poderia ocorrer, em qualquer urna usada em 
votação normal em todo o país. 


O trecho abaixo, extraído do arquivo de LOG de uma das urnas testada pelo TRE 
local, demonstra o uso não previsto e fora do padrão normal de votação do VPP: 


123 O programa VPP nunca é executado no dia da eleição sob condições normais. Os Art. 33 e 34 da Res. TSE 23.397 
apenas preveem o seu uso nos dias anteriores e posteriores à eleição. Para ser executado em uma urna eletrônica, o 
VPP necessita a quebra do lacre da midia de resultados para a inserção da midia de inicialização especifica, a qual 
nunca está disponível nas seções eleitorais em operação no dia da eleição. O rompimento dos lacres das urnas no 
dia da eleição é terminantemente proibido, a não ser em condições de contingência. 
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Visualizador de Logs 2014 - (C) Tribunal Superior Eleitoral - TSE 

Versão: 4.12.0.0 - Rio Sao Francisco 

Arquivo Visualizado: [o00158-4123800350128.l] 

UR . : MG 

Município..: 41238 - BELO HORIZONTE 

Zona .; 0035 

Seção .; 0128 

Pleito .; 00158 


Data Hora Urna Aplicação - Descrição 


26/10/2014 07:41:17 1198346 GAP - Identificada mídia de resultado - Verificador Pré e Pós Eleição 

26/10/2014 07:41:23 1198346 GAP - Solicita código de liberação de aplicativo 

26/10/2014 07:41:23 1198346 VCOD - Aguarda entrada do código de liberação do aplicativo [1^ vez] 

26/10/2014 07:43:13 1198346 VCOD - Código de liberação digitado 

26/10/2014 07:43:13 1198346 VCOD - Código de liberação Ok 

26/10/2014 07:43:14 1198346 GAP - Solicita ao INIT a execução do aplicativo de urna 

26/10/2014 07:43:14 1198346 GAP - Finalizado 

26/1012014 07:43:19 1198346 VPP - Iniciado: Oficial 

26/10/2014 07:43:20 1198346 VPP - versão: 4.12.0.0 

26/10/2014 07:45:13 1198346 VPP - Imprimindo relatório de Hash dos Arquivos - Fl 

26/10/2014 07:46:19 1198346 VPP - Imprimindo relatório de Hash dos Arquivos - FE 

26/10/2014 07:47:24 1198346 VPP - Imprimindo relatório de Hash dos Arquivos - Fl 

26/10/2014 07:47:45 1198346 VPP - Imprimindo relatório de Hash dos Arquivos - FE 

26/10/2014 07:47:57 1198346 VPP - Finalizado 

Com esse tipo de alteração arbitrária dos procedimentos, em tese permitido pela 
Comissão da Votação Paralela do TRE local^^"*, um programa malicioso para fraudar a 
apuração das urnas poderia detectar que estava sob teste paralelo e abortar sua roti¬ 
na de fraude, a partir da simples verificação das condições de uso do VPP, no dia da 
votação. 


A decisão da STI/TSE de não efetuar estudos simples como os acima, não lhe per¬ 
mite perceber que o Teste de Votação Paralela, da maneira como vem sendo desenvol¬ 
vido sob as regras estabelecidas nas resoluções escritas pela própria STI, não atende a 
condição mínima essencial de simular o mais próximo possível as condições normais 

de votação . 


124 Não foi possível determinar de onde partiu a sugestão e a ordem para o rompimento dos lacres das urnas e a execu¬ 
ção do VPP durante os testes paralelos. 
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E, com isso, 0 teste perde quase toda a sua capacidade de detectar adulterações 
de funcionamento do software que afetem o justo registro e apuração dos votos , pois 

só será capaz de revelar um software grosseira mente adulterado que não procure se 
desviar do teste. 

Assim, eventuais fraudes bem elaboradas via software das urnas, que podem ser 
implementadas por ataque interno que explore as vulnerabilidades descritas nas se¬ 
ções anteriores, não seriam detectadas nem por auditoria contábil (por não se produ¬ 
zir 0 VVPAT), nem por auditoria do software (devido ao porte da tarefa e ao excesso de 
restrições impostas aos auditores) e nem pelo Teste de Votação Paralela . 

4.4.2.11.3. A Auditoria Interna 

Nos artigos 57 e 58, a Resolução 23.397/2013 prevê a contratação de uma em¬ 
presa "com a finalidade de fiscalizar os trabalhos da votação paralela". 

Em 2014, a vencedora da licitação foi a empresa Grupo Maciel que produziu um 
relatório de sua auditoria para cada TRE. 

Foram contratados apenas um auditor para cada urna testada (total de 68), dife¬ 
rentemente de 2012 quando também havia sido contratado mais um auditor (total 94) 
para acompanhar cada computador de apoio que é usado durante os testes. 

Considera-se que um auditor por urna testada é muito pouco para uma tarefa 
que dura mais de 10 horas ininterruptas de trabalho. Para, de fato, fiscalizarem a in¬ 
serção de cada voto nas urnas testadas, o auditor não poderia, por exemplo, sair para 
almoçar ou ir ao banheiro. 

A empresa auditora fez constar a restrição de pessoal em todos os seus relatóri¬ 
os, onde escreveu que: 

... assim como no primeiro turno, o número enxuto de audi¬ 
tores contratados para a realização dos trabalhos (94 audito¬ 
res no ano de 2012 para 68 auditores no ano de 2014), se¬ 
guiu gerando dificuldade e um desgaste excessivo para a 
execução do mesmo. 

A análise dos relatórios da empresa auditora revela que se tratava de uma audi¬ 
toria de característica interna e não externa e independente, pois o plano de trabalho 
foi elaborado pela STI/TSE e não pelos auditores de forma independente. 

Os auditores contratados pelo TSE apenas responderam a um questionário pa¬ 
drão elaborado pela STI. Como esta declarou (pedido 50) que não procura determinar 
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a efetividade do teste pela análise dos dados produzidos nas urnas testadas, nenhuma 
questão foi apresentada que procurasse determinar se o teste ocorreu (efetivamente e 
não apenas formalmente) sob "condições normais de uso das urnas”. 

As questões preparadas pela STI estavam agrupadas em 20 itens específicos que 
remetiam apenas à verificação de procedimentos formais, como a constituição da Co¬ 
missão de Votação Paralela, o sorteio das urnas na véspera, o início e encerramento 
nas horas exatas previstas, a emissão da zerésima, a comparação dos resultados im¬ 
pressos pelas urnas e pelo sistema de apoio da própria STI, etc. 

O subdimensionamento da equipe de auditores contratados condicionou-os a 
apenas responder as questões da STI, sem ter tempo para qualquer outra verificação 
ou análise mais profunda. Por exemplo, os auditores do Grupo Maciel não procediam à 
contagem independente dos votos inseridos em cada urna, confiando cegamente no 
sistema de apoio fornecido pela STI, sem auditar o seu desempenho de fato. 

Os relatórios para cada TRE possuíam o mesmo texto básico com pequenas mo¬ 
dificações feitas pelos auditores locais, evidenciando a existência de um modelo pré¬ 
vio padrão das respostas e que houve uma centralização nacional na elaboração dos 
relatórios com pouca margem de atuação para os auditores locais. Todos os relatórios 
estavam assinados pelo Presidente do Grupo Maciel e não por cada equipe de audito¬ 
res de cada TRE. 

A resposta-padrão preparada para a questão 12.1 revela uma informação incorre¬ 
ta em todo o Brasil. A pergunta do questionário do TSE e a resposta padrão que foi en¬ 
contrada nos relatórios, eram as seguintes (grifo nosso): 

Pergunta da STI -12.1. Vai idas (sic) a votação nas urnas eie- 
trônicas, verificando se o servidor encarregado de digitar as 
inscrições dos eieitores pertencentes à seção sorteada, habi- 
iitando o voto par (sic) o votador, não utiiizando inscrição se- 
quenciai e sim randômica e digitação de títuios de eieitores 
não pertencentes à seção. 

Resposta padrão dos auditores - Não detectamos irreguiari- 
dade nos procedimentos na votação nas urnas eietrônicas, 
onde o servidor encarregado digitou as inscrições dos eieito¬ 
res pertencentes à seção sorteada, habiiitou o voto para o 
votador, não utiiizando inscrição sequenciai e sim randômica 
e não digitou títuios de eieitores não pertencentes à secão. 
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No entanto, a análise dos arquivos de LOG das urnas usadas no teste de votação 
paralela mostra a ocorrência de 417 digitações de títulos inválidos pelo operador e de 
236 justificativas de voto. 

Para uma justificativa ser inserida em uma urna eletrônica que está em regime 
de votação é necessária a digitação de um número de título de eleitor que não esteja 
inscrito na seção; e tanto a ocorrência de uma justificativa como a digitação de título 
inválido são registradas logo depois de digitados pelos mesários, como exemplificam 
os lançamentos seguintes, extraídos do log de urnas testadas: 

26/10/2014 09:41:00 1198346 VOTA - Título digitado pelo mesário 

26/10/2014 09:41:11 1198346 VOTA - Justificativa do eleitor foi efetuada com sucesso 

26/10/2014 10:38:22 1198346 VOTA - Título digitado pelo mesário 
26/10/2014 10:38:22 1198346 VOTA - Título digitado pelo mesário é inválido 

Em outras palavras, a resposta padrão à questão 12.1, dada pelos auditores con¬ 
tratados pelo TSE, revelou-se incorreta em todos os Estados onde foram simuladas jus¬ 
tificativas ou digitados títulos inválidos, evidenciando que os auditores envolvidos no 
processo de votação paralela não estavam atentos ou não conseguiram perceber mais 

de 650 ocorrências desse tipo . 

Em especial, onde os arquivos de LOG das urnas demonstram a ocorrência de ati¬ 
vidades totalmente fora do padrão de uma eleição comum - como o rompimento dos 
lacres, a execução do programa VPP antes da votação e a emissão da zerésima - pode¬ 
riam estar acoberto o uso eventual de uma bomba lógica no software das urnas, sen¬ 
do que, nessa situação, o relatório da empresa auditora nada registra nem revela. 

No seu item 6. Inconformidades Apuradas, apresenta a mesma resposta padrão 
dos demais Estados, nos seguintes termos: 

Nos dias de acompanhamento da Auditoria Externa da Vota¬ 
ção Paralela não foi encontrada nenhuma inconformidade 
que possa ter prejudicado a lisura dos trabalhos. 

A conclusão é que a auditoria contrata pelo TSE, "com a finalidade de fiscalizar 
os trabalhos da votação paralela" nos termos dos artigos 57 e 58 da Resolução 
23.397/2013, caracterizou-se como uma auditoria interna controlada, e não uma audi¬ 
toria externa independente, e que não teve por objeto e nem por metodologia verificar 
se o Teste de Votação Paralela atingiu a meta de simular os procedimentos de uma vo¬ 
tação normal. 
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No exemplo ilustrado neste capítulo, a empresa auditora contratada peloTRE não 
percebeu que os procedimentos foram arbitrariamente alterados, aceitando, indevida¬ 
mente, um procedimento fora do padrão normal, que poderia estar servindo de sinali¬ 
zador para que o programa em execução na urna abortasse uma rotina de fraude. 
Nessas condições, a votação paralela deixa de identificar que, ao mesmo tempo e com 
0 mesmo programa, estaria havendo fraude na votação oficial. 


4 . 4 . 2 . 11 . 4 . Conclusões sobre a Efetividade do Teste de Votação Paralela 

Considerando que: 

a) os procedimentos do Teste de Votação Paralela não simularam as condições 

normais de votação: 

b) a auditoria da empresa contratada atuou sob orientação estrita da STI e não 
desenvolveu qualquer procedimento independente para verificar se as “condi¬ 
ções normais de uso” foram respeitadas durante os testes; 

Conclui-se que o Teste de Votação Paralela, ocorrido durante o 2^ turno de 2014, 
não atingiu um nível de efetividade na tarefa de detectar eventuais adulterações mali¬ 

ciosas no software embarcado nas urnas eletrônicas testadas, no caso dessas adulte¬ 
rações terem sido produzidas para intencionalmente abortarem a fraude quando sob 
teste. 

O caso das urnas com biometria é mais grave porque elas são incompatíveis com 
esse tipo de teste legal e sempre será possível para um software malicioso facilmente 
burlar o teste. 

Na prática, o uso de urnas com biometria do eleitor torna ineficaz o §6- do arti¬ 
go 66 da Lei 9.504/1997. que, por motivos de segurança, institui o Teste de Votação 
Paralela . 

Destaque-se, ainda, o sucedido demostrado nesse capítulo, no qual os procedi¬ 
mentos do teste foram arbitrária e injustificadamente modificados, introduzindo sinais 
indeléveis que poderiam ser detectados por eventuais rotinas fraudadoras do resulta¬ 
do que procurassem tais sinais para se esconderem ou adormecerem durante o teste. 

Como na ocorrência relatada, o Teste de Votação Paralela simplesmente não de¬ 
tectaria um software fraudulento que oculte sua presença durante a votação paralela 
mediante o simples estratagema de verificar a existência de um registro do VPP no ar¬ 
quivo de LOG, no dia da eleição naquele Estado. 
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4.4.2.12. Teste de Penetração 


Atividade prevista no PTI: fazer um teste de penetração em urnas reais, carre¬ 
gadas com software oficiai, para comprovar eventuais vuinerabiiidades encon- 
tradas como viáveis para ataque 


Teste de Penetração é o nome utilizado em normas técnicas sobre segurança de 
sistemas informatizados, para regulamentar atividades nas quais elementos capazes, 
atuando com total liberdade de ação, tentam burlar as defesas do sistema contra in¬ 
vasão ou mau uso. 

Essa tarefa foi incluída no PTI porque, diante de um sistema cuja confiabilidade é 
essencialmente dependente do software, se pretendia procurar uma confirmação de 
uma possível exploração de vulnerabilidades que tivessem sido encontradas durante a 
fase de análise do software. 

Antes mesmo do início dos trabalhos de análise, a autoridade eleitoral tomou a 
iniciativa de emitir uma nova resolução para regulamentar "a reaiização periódica do 
Testes Púbiico de Segurança no sistema eietrônico de votação e apuração". 

O uso da expressão "Teste Púbiico de Segurança" na resolução do TSE, no lugar 
de "Testes de Penetração", se justifica porque a regulamentação criada pela autorida¬ 
de eleitoral não estava conforme com os termos de qualquer norma técnica sobre a 
execução de testes livres de penetração. 

O PSDB solicitou permissão para apresentar sugestões sobre a regulamentação 
que estava sendo desenvolvida. A autoridade eleitoral aceitou a apresentação das su¬ 
gestões, mas, atendendo orientação da STI, rejeitou o conteúdo de quase todas as su¬ 
gestões apresentadas. 

Em especial, foram rejeitadas todas as sugestões no sentido de tornar mais livre 
a atuação dos analistas. Entre as sugestões rejeitadas estavam: 

a) eliminar a restrição à participação de analistas estrangeiros ou brasileiros residentes no 
exterior; 

b) eliminar a STI como membro das comissões organizadora, de regulamentação e de co¬ 
municação dos testes (podendo participar como assessora); 

c) permitir a participação dos Partidos Políticos, da OAB e do MP como membros nas co¬ 
missões organizadora, de regulamentação e de comunicação; 

d) limitação do Termo de Confidencialidade ã data de apresentação do relatório do teste; 

e) permissão para efetuar compilação dos fontes para teste efetivo dos “hashes". 
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Foram aceitas na regulamentação do teste de segurança, porém, rejeitadas na 
prática, durante a fase de Auditoria do software, as seguintes sugestões: 

a) permissão para utilização de ferramentas de análise do software (negado na res¬ 
posta ao pedido 2 e 8 durante a análise do software)] 

b) inclusão, no escopo do teste, do software embarcado (firmware) das urnas (ne¬ 
gado na resposta ao pedido 27). 

Na resposta ao Pedido 47, no qual se solicitavam os relatórios de testes de pene¬ 
tração já efetuados por terceiros, o setor SEVIN/STI respondeu o seguinte: 

Resp. ao ped. 47 - "O TSE jamais contratou terceiros para re- 
aiizar teste de penetração nas urnas eietrônicas" 

No entanto, essa informação da STI aos auditores está incorreta e frontalmente 
contradiz o que está dito na publicação do TSE denominada Por Dentro da Urna^^^, na 
seção "Auditorias", na página 14, que diz o seguinte (g.n.): 

Em 2008, o TSE contratou a Fundação de Apoio à Capacita¬ 
ção em Tecnoioaia da Informação (FACTI) para a prestação 
de serviços especiaiizados de suporte na especificação de 
dispositivos eietrônicos de hardware e de software a serem 
apiicados no sistema eietrônico de votação brasiieiro, com 

foco na meihoria da segurança e na redução dos custos. 

Para viabiiizar o trabaiho da FACTI, o Tribunai disponibiiizou, 

por meio de acordo de confidenciaiidade, todos os modeios 
de urna, computadores, sistemas compiiados (prontos para 
uso) e códigos-fonte dos sistemas eieitorais da urna e do ge¬ 
rador de mídias para uma anáiise profunda de segurança. 
Outro contrato firmado com a FACTI estabeleceu a prestação 

de serviços de consultoria para a elaboração, o acompanha¬ 
mento da execução e a análise de testes de vulnerabilidade 
quanto à segurança da votação. Esse trabalho incluiu: ata¬ 
que e intrusão em algumas partes do sistema eletrônico de 
votação e da urna eletrônica: e auxílio na definição e confec¬ 
ção de algumas diretivas de segurança dos novos softwares 
da urna. 


125 TVibunal Superior Eleitoral - Por dentro da Urna. - 2® edição revista e atualizada - Brasília: TSE, 2010 - disponí¬ 
vel em: http://www.justicaeleitoral.jus.br/arquivos/tse-cartilha-por-dentro-da-urna 
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Diante desse quadro e das regras limitadoras criadas, inclusive pela recusa de 
credenciamento de um renomado especialista em testes de penetração em equipa¬ 
mentos eleitorais (o prof. Alex Halderman) como membro da equipe de auditores do 
PSDB (sob argumento de ser um atentado contra a soberania nacional), decidiu-se não 
dar andamento ao pedido de execução de teste de penetração, por se compreender 
que limitações incontornáveis e sem base em normas técnicas conhecidas estavam 
sendo impostas pela autoridade eleitoral, para restringir o livre desempenho da Audi¬ 
toria, 0 que provocaria resultados inconclusivos, como ocorreu com a análise dos códi¬ 
gos fontes. 


4.4.3. Análise da Filmagem de Urnas Selecionadas 


Atividade prevista no PTI: fiimar as urnas seiecionadas para teste, observando 
eventuai comportamento não-uniforme entre as seiecionadas 


Durante as diligências realizadas nos TRE's pela presente Auditoria Especial, fo¬ 
ram filmados teclado e tela de diversas urnas durante sua inicialização e execução de 
alguns programas. A filmagem foi autorizada pelo TSE e teve os seguintes objetivos 
principais: 

a) Registrar os detalhes do procedimento; 

b) Verificar as versões da BIOS utilizadas nas urnas eletrônicas; 

c) Verificar se o procedimento de geração do hash pelo programa VPP é uniforme 

entre as urnas de um mesmo modelo; 

d) Verificar eventuais anormalidades; 

Na amostra referente ao item "b", não foram constatadas divergências. Ressalte- 
se que todos os modelos de BIOS deveriam ser fornecidos para análise no código-fon¬ 
te para levantamento de eventuais fragilidades, o que não foi possível conforme já 
descrito. 

Com relação ao item "c", foi verificada uma grande variabilidade no tempo de 
geração de código hash, mesmo entre urnas similares em modelo, uso ou não de bio- 
metria, unidade federativa e número de eleitores. De modo geral, nas cerca de 250 ur¬ 
nas analisadas até o momento, foi observado um tempo médio de 5:28 com um des¬ 
vio padrão de 2:33. 
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Mesmo para urnas do mesmo estado, do mesmo modelo, ambas com biometria, 
houve variações de geração e impressão do hash entre 1:54 e 8:22. Considerando 
eventuais variações na velocidade de leitura das memórias flash (o que não foi possí¬ 
vel constatar pela falta de acesso às mesmas), estas deveriam ser lidas em tempos 
uniformes, ou seja, várias urnas com tempos similares de geração, ainda que díspares 
entre si. Deste modo, não é possível afirmar qual é a causa desta anormalidade. 

Com relação ao item "d", foram observadas urnas antigas com longo tempo de 
boot e com diversos erros registrados no log de inicialização. Este comportamento foi 
observado em diversas urnas modelo 2004. Não é possível saber a causa deste com¬ 
portamento neste nível de análise. 

Além disso, foi constatado que ao menos duas urnas apresentaram travamento 
logo na tela de boot. Esse comportamento não é esperado, uma vez que as urnas 
apresentadas foram aquelas que foram utilizadas até a finalização da eleição e deveri¬ 
am estar em perfeito estado de funcionamento. 


4.4.4. Auditoria da Transmissão e da Totalização - Item (3) do PTI 

De forma diferente do que ocorre com a auditoria da apuração nas urnas, a etapa 
de transmissão dos dados e a totalização dos votos no Brasil têm como serem audita- 
das por via externa e independente do software usado. 

Para tanto, bastaria aos Partidos se organizarem para coletar Boletins de Urna 
impressos nas seções eleitorais^^® e depois verificarem se estes foram, um a um, cor¬ 
retamente transmitidos e totalizados. 

Como são mais de 420 mil seções eleitorais espalhadas por todo território nacio¬ 
nal, é natural que cada partido não consiga recolher a totalidade dos BU impressos, 
forçando que essa auditoria seja feita de forma estatística. 

Descrevem-se a seguir os procedimentos efetuados para avaliar a precisão da 
transmissão e totalização dos resultados. 


126 Para a auditoria da transmissão e totalização ser efetiva é necessário que os BU impressos sejam recolhidos ainda 
nas seções eleitorais e não nos Cartórios Eleitorais, como é comum ser feito por partidos despreparados do ponto de 
vista da fiscalização efetiva. 
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4.4.4.1. 


Os Dados e Resultados Gerais 


Atividade prevista no PTI: comparar os dados gerais da eieiçâo (2^ turno, 
2014 - presidente), como abstenção, votos váiidos, brancos e nuios, com eiei- 
çôes anteriores simiiares em busca de discrepâncias significativas 


Os dados oficiais do 2^ turno de 2014 fornecidos indicam que estavam inscritos 
142.822.046 eleitores (70,87% da população) em 451.501 seções eleitorais agregadas 
em 428.894 urnas eletrônicas instaladas em 96.146 locais de votação. 

Foram utilizadas 429.824 urnas eletrônicas (incluindo as de contingência) sendo 
357.926 delas urnas sem biometria. As demais 71.898 eram urnas com biometria 
(16,7%) utilizadas em 724 municípios com um total de 21.677.955 eleitores aptos. 

Dos modelos fabricados até 2008, sem circuito interno de segurança MSD, foram 
usadas 1.120 como urnas biométricas e 108.302 como urnas comuns. Dos modelos fa¬ 
bricados depois de 2009, com circuito interno de segurança MSD, foram usadas 
70.778 como urnas biométricas e 249.624 como urnas comuns. 

Compareceram para votar 112.683.879 eleitores, resultando em uma taxa média 
de abstenção de 21,10%. 

Os valores apresentados da totalização dos votos indicam o seguinte resultado: 


Dilma Rousseff (13) 

54.501.118 

48,37% 

Aécio Neves (45) 

51.041.155 

45,30% 

Brancos 

1.921.819 

1,70% 

Nulos 

5.219.787 

4,63% 

Comparecimento 

112.683.879 

100 % 

Abstenção 

30.137.749 

21,10% (dos aptos) 

Total Eleitores Aptos 

142.822.046 



Os quadros de votos válidos por modelo de urna (com ou sem biometria e com ou 
sem circuito MSD) são os seguintes: 
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Votos Válidos biometria 

Votos Dilma (%) 

Votos Aécio (%) 

Diferença 

porcentual 

Urnas com biometria 

9.435.906 (53,20%) 

8.300.934 (46,80%) 

6,40% 

Urnas sem biometria 

45.065.202 (51,32%) 

42.740.221 (48,68%) 

2,64% 


Votos Válidos circui¬ 
to MSD 

Votos Dilma (%) 

Votos Aécio (%) 

Diferença por¬ 
centual 

Urnas com MSD 

41.083.280 (52,94%) 

36.516.659 (47,06%) 

+5,88% 

Urnas sem MSD 

13.550.552 (48,06%) 

14.647.158 (51,94%) 

- 3,88% 


A comparação dos votos válidos, brancos e nulos com a série histórica de elei¬ 
ções presidenciais em 2^ turno indica o seguinte: 


2° Turno - % 

2002 

2006 

2010 

2014 

Abstenção 

20,47 

18,99 

21,50 

21,10 

Votos Válidos 

94,00 

93,96 

93,30 

93,67 

Brancos 

1,89 

1,33 

2,30 

1,70 

Nulos 

4,11 

4,71 

4,40 

4,63 


Essa série histórica não sugere que tenha havido desvio de votos brancos e nulos 
para algum candidato, mas nos dois quadros anteriores chama a atenção a inversão 
de tendências entre candidatos conforme o modelo de urna. 

De uma maneira geral, o desempenho do candidato do PSDB foi inferior onde fo¬ 
ram utilizadas urnas com software mais complexo, como as com o circuito MSD e com 
biometria. 

Considere-se que a complexidade do software aumenta a dificuldade de auditoria 
para detectar eventual maiware nele inserido, fato que é agravado em sistemas de¬ 
pendentes do software como o modelo das urnas eletrônicas brasileiras. 
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A presente auditoria não teve condições de verificar se essa inversão de tendên¬ 
cia foi motivada por eventual software adulterado nas urnas com biometria ou com cir¬ 
cuito MSD, pois, como detalhado na seção 4.4.2, o Teste de Votação Paralela não é 
efetivo com urnas biométricas e o software embarcado nos circuitos MSD não foi apre¬ 
sentado para avaliação. 


4.4.4.2. Coerência dos Dados Digitais sobre a Totaiização 

Atividade prevista no PTI: verificar a consistência e coerência entre os resuita- 
dos da apuração de cada seção/urna e o resuitado finai pubiicado 


Esta tarefa consiste apenas em se somar os resultados oficiais de cada urna/se¬ 
ção para verificar sua coerência com o resultado geral publicado pelo TSE. 

É uma tarefa de alcance parcial, pois demanda que também seja feita a verifica¬ 
ção, por amostragem, se os valores dos BUweb (resultado de cada seção publicado na 
Internet) são idênticos aos que foram impressos nos BU nas seções eleitorais (tarefa 
essa discutida a seguir). 

A análise revelou coerência entre os números apresentados nos BUweb e o resul¬ 
tado eleitoral oficial final. 


4.4.4.3. Conferência Estatística da Totaiização 

Atividade prevista no PTI: obter o maior número possívei de BU impressos re- 
coihidos por fiscais no dia da eieição, inciusive peio projeto Você FiscaP^^, e 
obter cópias dos BU extraídos de uma amostra escoihida de urnas usadas na 
eieição, para comparar com resuitados oficiais por seção eieitorai 


Esta tarefa é complementar à anterior e procura verificar, por amostragem, se os 
resultados dos BU impressos são os mesmos que compõem a base de dados BUweb 
usada na totaiização. Se essa tarefa apontar sucesso, significa que a transmissão e a 
totaiização dos resultados é potencialmente confiável, dependendo essa análise basi¬ 
camente da relevância estatística da amostragem utilizada. 

127 Projeto Você Fiscal - http://www.vocefiscal.org/ 
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Assim, essa é uma tarefa que enfrenta o problema do volume de BU impressos a 
serem conferidos, pois, por mais que se procure otimizar a amostra por meio de estra¬ 
tificações, qualquer estratégia sempre resultará num número grande de urnas disper¬ 
sas num vasto território a terem seus dados coletados e conferidos manualmente. 

Há também que se enfrentar os problemas logísticos, pois os Partidos não conse¬ 
guem, de maneira geral, se organizar para cumprir a coleta de uma amostra cientifica¬ 
mente projetada. 

Na presente auditoria foram conferidos 503 BU impressos que haviam sido reco¬ 
lhidos pelo Partido e pelos auditores no dia da eleição e mais 7.020 BU fotografados e 
conferidos pelo projeto Você FiscaP^®. As seções cobertas nesse caso foram recolhidas 
ao acaso, sem uma distribuição planejada. 

Outros 684 BU foram recolhidos diretamente de urnas auditadas nos TRE e, nes¬ 
se caso, foram escolhidas urnas que atendiam ao menos dois dos seguintes critérios: 

a) Denúncias específicas na imprensa de votos realizados em nome de terceiros; 

b) Votos rápidos suspeitos (em menos de 4 segundos); 

c) Votos lentos suspeitos (eleitor demorou mais de 5 minutos); 

d) Liberação pelo mesário em número excessivo, em urnas biométricas; 

e) Arquivo RDV fora da formatação esperada; 

f) Urnas cujos logs não foram fornecidos no início; 

g) Seções com baixa abstenção e/ou votação em Aécio menor que 10%; 

h) Diferenças entre correspondências. 

A escolha de apenas 684 urnas nesse caso foi devido a limitações de tempo e de 
orçamento. Teve-se que enviar equipes de dois ou três auditores para 16 estados, 
onde eram recolhidos os dados de 30 a 40 urnas de cada vez. 

Não foram encontradas divergências entre os BU impressos obtidos e os respecti¬ 
vos valores registrados na base de dados do TSE. 

Destaque-se que essa análise não abrange uma auditoria da apuração dos votos 
nas urnas, ou seja, não avalia a correção do resultado registrado em cada BU em si, 
mas apenas se são iguais o conteúdo do BU impresso com o respectivo BU recepciona¬ 
do pelo sistema totalizador. 

Considera-se essa amostra, por sua aleatoriedade e volume, o suficiente para in¬ 
dicar, com boa margem de confiança, que a transmissão dos dados produzidos pelas 
urnas e a totalização desses dados no 2^ turno de 2014 ocorreram sem sofrer adulte¬ 
ração capaz de inverter o resultado final. 


128 http://www.vocefiscal.org/blog/resultados-da-conferencia-coletiva-dos-boletins-de-urna/ 
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4.4.4.4. 


Reprodução do Gráfico da Totalização no tempo 


Atividade prevista no PTI: anaiisar os arquivos de eventos (iog) dos sistemas 
de transmissão de resuitados a procura de sinais de acessos impróprios e para 
refazer o gráfico da totaiização no tempo, pubiicado peio TSE 


Essa atividade consistia em se tentar reconstruir o gráfico da totalização no tem¬ 
po, que foi publicado pelo TSE. Para tanto, seria necessário, além dos resultados de 
cada seção (BU), do horário em que cada resultado foi totalizado. 

No entanto, resultou infrutífera essa tarefa, uma vez que o TSE não mantém do¬ 
cumentos de auditoria que permitam saber a que momento cada BU foi totalizado. 
Além disso, todos os arquivos de Iog que se obteve, dos vários sistemas de recepção e 
de transmissão dos resultados, eram parciais ou incompletos e não chegavam a indi¬ 
car em que momento tal dado foi finalmente considerado, no TSE, na elaboração do 
gráfico da totalização no tempo. 

Um emaranhado de pacotes transmitidos de forma independente e sem sincronia 
preestabelecida dos Cartórios para os TRE's e destes para o TSE tornaram impossível 
a tarefa de reconstruir o gráfico desejado. 

O insucesso dessa tarefa revela que a autoridade eleitoral também não se preo¬ 
cupou com a criação de trilhas de auditoria funcionais sobre a sequência da totaliza¬ 
ção dos resultados. 

Entende-se que o administrador eleitoral deveria acrescentar em sua base de da¬ 
dos das seções eleitorais, a informação do horário em que cada BU foi efetivamente 
considerado na totalização oficial parcial. 
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4.4.5. 


Denúncias Específicas - Item (4) do PTI 


Nessa seção, são analisadas as denúncias mais específicas que chegaram ao co¬ 
mando da campanha do partido. 


4.4.5.1. Geração de Mídias 

Denúncia: computadores que geravam as mídias de carga das urnas tinham 
conexão ativa com a Internet. 


Durante as demonstrações dos sistemas no TSE, os auditores puderam confirmar 
que, de fato, os computadores dos Cartórios Eleitorais onde rodavam o sistema GEDAI, 
que geram as mídias que serão utilizadas na carga e preparação das urnas eletrôni¬ 
cas, não tinham qualquer restrição quanto a estarem conectados na Internet no mo¬ 
mento da geração. 

Essa constatação vai de encontro ao que costumeiramente é divulgado como 
"saivaguarda" do sistema eleitoral, de que não haveria conexão com a Internet nos 
pontos críticos do processo eleitoral, pois, aparentemente, essa preocupação é aplica¬ 
da apenas à urna eletrônica em si. 

O momento da geração das mídias de carga é um momento crítico e deveria es¬ 
tar protegido contra acesso indevido, principalmente se considerado que a própria 
STI/TSE reconheceu (resposta ao pedido 33) que as chaves de segurança dos progra¬ 
mas executáveis foram obtidas dos próprios programas que são gravados na mídia de 
carga, argumento este que foi usado para negar acesso dos auditores para conferên¬ 
cia dos programas executáveis. 
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4.4.5.2. 


Smartmatic 


Denúncia: a empresa, estrangeira, teria fraudado a contagem dos votos - mui¬ 
tas denúncias com documentação diversa, mas inespecífica. 


A empresa Smartmatic foi alvo de inúmeras denúncias elaboradas com amplitude 
e algum detalhamento, que alegavam que ela tem um histórico de participação em 
fraudes eleitorais em outros países e que participaria de um esquema de fraude na to- 
talização dos votos no Brasil. 

Em 2012, a Smartmatic do Brasil Ltda. integrava o consórcio ESF que foi contra¬ 
tado pelo TSE^^®, para fornecimento de serviços de "exercitação das urnas eietrôni- 
cas". Dois meses depois, a empresa Smartmatic Internacional Corporation foi incluída 
no contrato por meio de um termo aditivo. 

O contrato previa as seguintes atividades: 

a) carga das baterias internas e de reserva; 

b) exercitação dos componentes eietrônicos mediante utiii- 

zação do programa; 

c) STE - Sistema de Testes Exaustivos, desenvoivido e forne¬ 
cido peio TSE; 

d) iimpeza, retirada de iacres, testes funcionais, triagem 
para manutenção corretiva e preparo para armazenamento 
das urnas eietrônicas; 

e) inserção dos dados coietados das urnas no Sistema de Lo¬ 
gística de Urnas e Suprimentos - LOGUSWEB; 

f) procedimentos de atuaiização de software embarcado e 

certificação digitai nas urnas de modeios a partir de 2009, 
inciusive; 

g) preparação, instaiação, carga de software de eieição (até 
1/3 podendo ser executado em outro iocai que não o de ar¬ 
mazenamento), testes e operacionaiização das urnas eietrô¬ 
nicas, suporte à geração do B.U.; 

h) recepção de mídias e transmissão dos boietins de urna 
(BU), via sistema de apuração. 


129 Contrato 80/2012 da licitação TSE 42/2012, com as empresas Smartmatic Brasil, Engetec Tecnologia e Fixti Solu¬ 
ções em Tl.Em vários processos na Justiça do Trabalho, a Engetec Tecnologia SA foi declarada sucessora da Pro- 
bank SA, fornecedora do TSE, ao menos desde 2004, dos mesmos serviços ora contratados. 
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Os três últimos itens são críticos. Pelo item (f) se tem oportunidade de inserção 
de porta-dos-fundos dentro do circuito de segurança MSD das urnas de modelo 2009 
em diante. O item (g) dá acesso às urnas no momento de carga do software de elei¬ 
ção. E 0 item (h) dá acesso às mídias de resultado que são transmitidas para a totali- 
zação. 

Apenas um eventual ataque às mídias de resultado poderia ser detectado por 
uma auditoria da totalização. Já eventuais ataques ao firmware do MSD ou ao software 
das urnas não poderiam ser detectados pelos procedimentos de auditoria que a autori¬ 
dade eleitoral permite e pratica atualmente. 

Esse contrato de 2012 foi revogado, por interferência do TCU, mas as empresas 
Smartmatic e Engetec criaram diversos outros consórcios (Engematic, Smartitec, etc.) 
para participar de outras licitações no TSE e nos TRE's. 

Em 2014 teriam sido contratas por, ao menos, 11 TRE's para o fornecimento de 
serviços similares ao do contrato de 2012, excluindo-se o designado no item (f) de 
atualização do firmware dos circuitos MSD das urnas. 

Nesses termos, verifica-se que, em 2012, funcionários da Smartmatic teriam tido, 
em tese, acesso às urnas eletrônicas novas, recebidas do fabricante, para participar 
das atividades de atualização do software gravado nos circuitos de segurança MSD, 
que se entende serem passíveis de abrigar maiware (como portas-dos-fundos) que 
permitam a exploração em um momento posterior. Em 2014 eles também tiveram 
acesso à carga das urnas e à transmissão dos resultados. 

A conferência da transmissão e da totalização dos votos que foi possível desen¬ 
volver (seção 4.4.4.3) não detectou sinais de ataques sistemáticos ou abrangentes 
que tenham ocorrido no 2^ turno de 2014. 

Já a auditoria da apuração, que não foi possível desenvolver de forma satisfatória 
(seção 4.4.2), não teve como eliminar a possibilidade de ter ocorrido ataque via 
software das urnas. 
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4.4.5.3. 


Eleitor Já Votou 


Denúncia: eleitor não pôde votar porque alguém Já tinha votado em seu nome 
- muitas denúncias, algumas documentadas, inclusive em seções com urnas 
biométricas. 


Foram muitas as reclamações de eleitores que não conseguiram votar porque, 
alegadamente, já teriam votado antes. 

Não se obteve uma tabulação extensiva desse tipo de reclamação em todo Brasil 
e, por isso, não se tem como avaliar o potencial de alteração do resultado eleitoral, 
mesmo porque os eleitores que não conseguiram votar poderiam votar para qualquer 
um dos dois candidatos. 

Esse problema ocorre sempre que o mesário, por erro, usa o número de um elei¬ 
tor disponível na lista de votação para liberar o voto para outra pessoa. 

Também poderia ocorrer no caso de fraude de uma pessoa que obtenha os docu¬ 
mentos de um eleitor e se apresente para votar no seu lugar, mas são eventos de bai¬ 
xa frequência e de baixo potencial de inverter o resultado da eleição presidencial. 

A princípio também se pode afastar nesse caso, ao menos parcialmente, a hipó¬ 
tese de fraude do mesário (analisada em seção adiante) pois o mesário mal-intencio¬ 
nado poderia acobertar seu comportamento indevido permitindo que o eleitor votasse 
no lugar de qualquer outro eleitor que ainda não tivesse votado. 

Em urnas sem biometria se pode verificar a incidência de erros de digitação do 
mesário pela frequência de ocorrências do lançamento "eleitor já votou" nos arquivos 
de LOG. A análise da quantidade de lançamentos "eleitor já votou" não indicou a ocor¬ 
rência de números fora do aceitável ou de ocorrência de erros sistemáticos em uma 
mesma seção eleitoral. 

Já em urnas com biometria, esse tipo de erro não deveria ocorrer pois, em condi¬ 
ções normais, ao se verificar a digital do eleitor seria descoberto e corrigido o erro de 
digitação do mesário. 

Porém, durante a análise dos arquivos de LOG das urnas usadas na Votação Para¬ 
lela , revelou-se um outro problema inesperado: diversos casos de falso-positivo em ur¬ 
nas com biometria, o que possibilita, em tese, que terceiros se passem por eleitores 
legítimos e votem no lugar deles. 
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A tecnologia de reconhecimento biométrico é essencialmente um procedimento 
estatístico não-determinístico que pode, eventualmente, apresentar casos de falso- 
negativo^^° e de falso-positivo^^\ Em sua página oficial na lnternet^^^ a autoridade 
eleitoral reconhece a possibilidade do falso-negativo e também mostra que não espe¬ 
ra a ocorrência de casos de falso-positivo, nos seguintes termos: 

"A medida (biometria) impede que uma pessoa tente se pas¬ 
sar por outra no momento da identificação (alegação de 

não ocorrência do falso-positivo) em um pieito ... 

A possibiiidade de um eieitor autêntico ser negado peio sis¬ 
tema biométrico é reai (reconhecimento da ocorrência 
de falso-negativo), embora muito rara, fato comprovado 
nas últimas eleições, que registraram baixíssimo índice de 
não reconhecimento das digitais..." - comentários em pa¬ 
rênteses e negrito por nós incluídos 

Apesar de já estar em uso desde as eleições de 2008, a presidência do TSE reve¬ 
lou insegurança e reconheceu que o uso da biometria das urnas eletrônicas ainda é 
um processo imaturo ao determinar, no Processo Administrativo n^ 188-62, a exclusão 
da biometria do escopo dos testes públicos de segurança, nos seguintes termos: 

Sobre a sugestão de inclusão dos dispositivos biométricos 
como parte do escopo dos testes de segurança, informamos 
que a verificação biométrica é um sistema ainda em implan¬ 
tação e evolução, representando uma porção minoritária das 
seções eleitorais. Além disso, a biometria não é um sistema 
determinístico, e, portanto, seriam complexos os critérios 
para avaliar se houve ou não subversão de algum dispositivo 
de segurança. 

130 O falso-negativo ocorre quando um eleitor legítimo não é reconhecido pelo sistema biométrico. A taxa de falso- 
negativo esperada no início do projeto de biometria em 2008 era de 1%. Quando ocorre um caso de falso-negativo, 
o TSE determina que o mesário digite uma senha de liberação da urna para que o eleitor vote mesmo sem ter ocorri¬ 
do o reconhecimento biométrico. 

1310 falso-positivo ocorre quando um terceiro é reconhecido no lugar de um eleitor legítimo, permitindo que vote em 
seu lugar. A taxa de falso-positivo esperada no início do projeto de biometria em 2008 era mínima. Quando ocorre 
um caso de falso-positivo, o sistema do TSE não consegue detectar e o erro passa despercebido pelo sistema. 

132 http://www.tse.jus.br/eleicoes/biometria-e-urna-eletronica/biometria-l 

133 Apesar de considerar o sistema de biometria ainda imaturo, em implantação e difícil de ser avaliado em testes exter¬ 
nos de segurança, o TSE já possui mais de 400 mil urnas com biometria, das quais utilizou aproximadamente 80 
mil em 2014, e, durante o andamento da presente auditoria, abriu a licitação 40/2015 para a compra de mais 150 mil 
novas urnas biométricas. 
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No caso de ocorrência do falso-negativo, o erro é detectável e pode ser compen¬ 
sado pela liberação do voto pelo mesário. Usando o número de liberações do mesário 
como métrica, a taxa de falso-negativo ocorrida durante a eleição normal pode, por¬ 
tanto, ser determinada pela análise dos arquivos de BU e de LOG das urnas. No 2^ tur¬ 
no de 2014 a taxa de falso-negativo foi de 6,7%, similar à eleição de 2010 (7,1%). 

São valores muito acima do ideal esperado no início do projeto (1%), e que certa¬ 
mente não deveriam ser considerados como "...baixíssimo índice de não reconheci¬ 
mento das digitais..." como ocorre na referência^^"* já citada acima 

No caso de ocorrência do falso-positivo em uma eleição normal, o erro não é de¬ 
tectado pelo sistema e uma eventual fraude não é revelada. Por isso, no projeto de sis¬ 
temas biométricos, se costuma ser rigoroso nesse caso, procurando reduzir a possibili¬ 
dade de ocorrência de falso-positivo ao mínimo possível, sendo comum procurar-se al¬ 
cançar índices abaixo de 1 falso-positivo em cada 1000 testes. 

Porém, no caso do Teste de Votação Paralela, no qual nenhum eleitor verdadeiro 
está presente para liberar o voto em seu nome, o arquivo de LOG consegue registrar 
os casos de falso-positivo, que ocorrem quando a impressão digital do operador do 
TRE é reconhecida como a de um eleitor legítimo. 

A análise dos arquivos de LOG das 17 urnas com biometria submetidas ao teste 
de votação paralela revelou a ocorrência de falso-positivo em 8 delas, nas quais se 
atingiu uma taxa média de 1,41% de falsos-positivo^^^, com um inesperado máximo de 
5,85% de falsos-positivo na urna que seria usada na SE 0473 da ZE 0003 de Recife. 

São números um tanto surpreendentes, muito acima da taxa esperada conside¬ 
rando avaliações similares com o mesmo sistema de software biométrico. 

Mais precisamente, conforme análise realizada pelo NIST^^® com diversos algorit¬ 
mos de biometria, incluindo os sistemas Morpho-SAGEM e NBIS-EC {NISTBiometric 
Image Software) utilizados pelo TSE no seu sistema de identificação biométrica do 
eleitor, esperar-se-ia, por exemplo: 

134 Textos do TSE sobre o uso da biometria nas urnas, a partir de;http://www.tse.jus.br/eleicoes/biometria-e-urna- 
eletronica/biometria-1 

135 A taxa de falso-positivo em urnas biométricas usadas na votação paralela é obtido a partir do número de lançamen¬ 
tos de “eleitor reconhecido” no dia do 2° turno, obtido no arquivo de LOG, dividido pelo comparecimento registra¬ 
do no BU. 

136 NIST - National Institute of Standards and Technology. “NISTIR 8034 - Fingerprint Vendor Technology Evalua- 
tion”. Dezembro de 2014, DOI: http://dx.doi.org/10.6028/NIST.IR.80340s dados citados foram extraídos das Tabe¬ 
las 7 e 8 na página 26 e do gráfico da Figura 90 na página 104 do relatório do NIST. 
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a) uma taxa de falsos-positivos de 0.1% para uma taxa de falsos-negativos próxima 
a 2.2%; 

b) uma taxa de falsos-positivos inferior a 0.05% para uma taxa de falsos-negativos 
superior a 2.5%;uma taxa de falsos-positivos da ordem de 50% se fosse usado 
como taxa alvo de falsos negativos o número de 1%. 

Verifica-se, portanto, que o sistema utilizado pelo TSE está se comportando consi¬ 
deravelmente fora da faixa de operação observada no documento do NIST. 

O baixo desempenho obtido com relação aos falsos-negativos se deve, aparente¬ 
mente, à baixa qualidade na coleta dos dados biométricos dos eleitores, como sugere 
a notícia^^^ publicada no dia 04 de maio de 2015 pelo jornalista Ary Filgueira. 

O baixo desempenho quanto aos falsos-positivos se deve, aparentemente, à deci¬ 
são da STI de reduzir para 20 o score^^^ necessário para considerar positiva uma iden¬ 
tificação, com a finalidade de diminuir os casos de falsos-negativos e, assim, reduzir o 
atraso na votação que a identificação biométrica realizada no próprio equipamento de 

votação inevitavelmente provoca . 

A análise dos arquivos de LOG, de urnas biométricas usadas na votação normal e 
das usadas na votação paralela, mostra que a identificação biométrica de um eleitor 
real costuma atingir score entre 40 a 60, enquanto os casos de falsos-positivos na vo¬ 
tação paralela atingiam score entre 20 a 25. 

Se 0 score limite de aceitação tivesse sido estabelecido um pouco acima, em 30 
por exemplo, se reduziria a valores mais aceitáveis os casos de falso-positivo. 

Ou seja, a necessidade de o administrador eleitoral reduzir a taxa de falso-nega¬ 
tivo para reduzir o atraso na votação com urnas biométricas provocou o crescimento 
dos casos de falso-positivo para muito além do razoável. 

Como agravante, tem-se que essa taxa média de falso-positivo em urnas biomé- 
tricas é superior à taxa de denúncias de "eleitor já votou" que chegou ao Partido e, 
então, a falha mais grave do sistema biométrico (falsos-positivos) pode ser acolhida 
como uma possível explicação para a ocorrência inesperada desse tipo de denúncia 
em Seções Eleitorais que usaram urnas biométricas em 2014. 


137 “PF constata erro no cadastro biométrico realizado pelo TRE-DF” - disponível em: 
http://www.fatoonline.com.br/conteudo/2430/pf-constata-erro-no-cadastro-biometrico-realizado-pelo-tre-df 

138 Score: é o termo usado pelo TSE nos arquivos de LOG, como indicador da quantidade de coincidências encontradas 
em uma identificação biométrica. 
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4.4.5.4. 


Eleitor Fantasma 


Denúncia: eleitor que viajou ao exterior constatou que algum "fantasma” vo¬ 
tou em seu lugar. Apresentou documentação da viajem e do certificado de vo- 
tação dado pelo TSE. 


0 eleitor encaminhou a seguinte denuncia^^®: 

Sou filiado ao PSDB. 

Não votei nestas eleições porque fui visitar meu filho e meu 
neto na cidade de DaIIas / Texas, fiquei por lá de 21 de se¬ 
tembro a 22 de novembro 2014 

Hoje 22/01/14, fui a 249- Zona Eleitoral de São Paulo /SP - 
para justificar a minha ausência e de minha esposa na vota¬ 
ção de 2014. 

Levei os seguintes documentos, carteira de identidade, pas¬ 
saporte, passagens de ida e volta e título eleitoral. 
Primeiramente viram os documentos de minha esposa e ex¬ 
pediram para ela o Requerimento de Justificativa Eleitoral - 
Protocolo de entrega. 

Quando apresentei os meus documentos fui informado de 
que não precisaria justificar, pois eu já havia votado nas elei¬ 
ções, então pedi uma certidão de quitação que me foi entre¬ 
gue. 

Se ocorreu isto comigo imaginem o que mais poderia ter 
ocorrido nesta seção, neste caso acho que deveriam ser in¬ 
terrogados o presidente e mesários da secão . 

Anexo copia das passagens ida e volta American 
Passaporte com data de entrada nos Estados Unidos 
Copia da Certidão da Justiça Eleitoral da 249- Zona Eleitoral 

de São Paulo - SP. Dizendo que o eleitor abaixo qualificado 

está quite com a Justiça Eleitoral na presente data. 

Espero que este meu testemunho sirva para a comissão que 

esta trabalhando nas analise das urnas desta eleição de 

2014. 

Atenciosamente. 

Os documentos enviados pelo eleitor comprovam que ele estava no exterior no 
dia da eleição e que o TSE certificou que ele votou na seção eleitoral na cidade de São 
Paulo. 


139 Para preservar a identidade do denunciante, foram excluídos todos os dados que pudessem levar à sua identificação. 
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0 caso de eleitores que apresentaram justificava porque não se encontravam na 
cidade onde estão cadastrados e, ao mesmo tempo, constam como tendo votado é 
muito fácil de ser detectado com a simples análise dos arquivos de eleitores aptos/fal¬ 
tosos e arquivos de justificativa. 

O caso pode ser provocado por eventual erro ou por fraude do mesário (como 
descrito na seção a seguir), pois se pode afastar a hipótese do eleitor ter votado nor¬ 
malmente para depois viajar para outra cidade e apresentado uma justificativa falsa, 
atitude altamente improvável de ocorrer com frequência significativa. Assim, se enten¬ 
de que, nos casos de duplicidade, a justificativa é o dado correto e o voto é o dado in¬ 
correto (falso). 

Uma vez tabulados os casos, não seria possível determinar e eliminar o voto fal¬ 
so, mas ter-se-ia uma precisa indicação das seções eleitorais onde o problema ocorreu 
com incidência acima do normal, e, com essa informação, seria possível abrir uma in¬ 
vestigação sobre a confiabilidade dos mesários respectivos (como justificadamente foi 
sugerido pelo denunciante) e, se for o caso, evitar sua convocação em eleições futu¬ 
ras. 

Contudo, não foi possível verificar a incidência desse problema porque a autori¬ 
dade eleitoral negou o fornecimento dos arquivos de eleitores faltosos e de justificati¬ 
vas sob 0 argumento redundante de que esse fornecimento não estava previsto na 
própria regulamentação. 

Pelo Pedido de Esclarecimentos 49, foi consultada a STI/TSE para responder se tal 
análise é feita internamente, depois de uma eleição, e, caso positivo, qual foi a inci¬ 
dência e as medidas preventivas tomadas. Obteve-se a seguinte resposta: 

Compete à Corregedoria Geral Eleitoral adotar as ações cor¬ 
retivas de um pleito eleitoral. 

Como a resposta formal nada esclarece, informalmente se soube que a autorida¬ 
de eleitoral não desenvolve qualquer cruzamento de dados de votantes e justificativas 
para orientar medidas preventivas futuras. 

Com isso, nos casos de duplicidade, a justificativa (dado com maior probabilidade 
de estar correto) é simplesmente desprezada e o voto (dado mais provavelmente fal¬ 
so) é considerado válido e computado normalmente. 

Essa postura da autoridade eleitoral, de desprezar a informação mais confiável e 
computar a informação menos confiável, foi comprovada pelos documentos enviados 
pelo eleitor que, indignado, fez a denúncia. 
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4.4.5.5. 


Fraude do Mesário 


Denúncia: mesários inseriam votos nas urnas no finai do dia - muitas denúnci¬ 
as, pouco documentadas. 


Denomina-se como Fraude do Mesário a inserção de votos ilegais nas urnas ele¬ 
trônicas em nome eleitores que ainda não compareceram para votar e outras fraudes 
de menor efeito, como a indução do voto de um eleitor ou a anulação do restante do 
voto de um eleitor que demore durante a votação. 

A inserção de votos ilegais por ação ou conivência dos mesários não tem solução 
tecnológica viável, sendo possível de ocorrer tanto nas urnas comuns como nas urnas 
com biometria e só pode ser inibida, de fato, pela presença atenta de fiscais nas se¬ 
ções eleitorais. 

A biometria do eleitor, que costuma ser apresentada como solução para impedir 
que terceiro vote no lugar de um eleitor legítimo, não consegue evitar a fraude do me¬ 
sário. 

Isso se deve ao problema do falso-negativo, que é inevitável que venha a ocorrer. 
Para corrigi-lo, o administrador eleitoral permite que um voto possa ser inserido nas 
urnas biométricas a partir da digitação de um código fixo que é fornecido a todos os 
mesários. 

Normalmente, essa fraude ocorre no final do período de votação, quando os fis¬ 
cais abandonam a seção eleitoral e abrem a oportunidade para que mesários inescru- 
pulosos, agindo em conluio ou sob coação, insiram votos em nome dos eleitores que 
ainda não compareceram. A inserção desses votos ilegais costuma ser feita de forma 
rápida e sequencial depois das 16 ou 16h30 e, por isso, também são chamados de 
"votos rápidos e tardios". 

Uma forma de potencialmente identificar a ocorrência dessa fraude é a análise 
do arquivo de LOG de cada urna para determinar se houve uma alteração no ritmo de 
inserção de votos no final do período da votação e, no caso das urnas biométricas, se 
houve crescimento na quantidade de liberações do voto pelo mesário (com a simula¬ 
ção de um falso-negativo). 

A tabela abaixo apresenta a quantidade de votos totais e de votos rápidos (dados 
em até 5 segundos) registrados em todas as urnas, a cada hora do dia de votação: 
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Horário de 

Quantidade de votos 

% 

Quantidade de votos em 

% 

votação 

total 


até 5 seg 


08h às 09h 

15.303.935 

13,6 

762.291 

13,3 

09h às lOh 

15.601.460 

13,8 

717.738 

12,5 

lOh às llh 

15.842.983 

14,1 

805.703 

14,1 

llh às 12h 

13.845.765 

12.3 

754.959 

13,2 

12h às 13h 

11.382.648 

10,1 

622.265 

10,9 

13h às 14h 

10.641.945 

9,4 

547.891 

9,6 

14h às 15h 

11.066.843 

9,8 

548.990 

9,6 

15h às 16h 

11.033.383 

9,8 

539.773 

9,4 

16h às 17h 

7.917.942 

7,0 

422.987 

7,4 

17h às 18h 

42.046 

0.04 

3.196 

0,05 

18h às 19h 

48 

0 

5 

0 


A quantidade de votos rápidos depois das 17h foi de apenas 3201 votos, um va¬ 
lor insignificante. Mesmo entre às 16h e 17h a quantidade de votos rápidos se reduziu, 
mostrando um comportamento porcentual similar ao total de votos a cada hora. 

A análise mais minuciosa desses dados chegou a encontrar seções eleitorais com 
comportamento fora do normal, mas não mostrou incidência de votos rápidos e tardi¬ 
os em quantidade e regularidade que pudesse inverter o resultado eleitoral. 

Conclui-se que a Fraude do Mesário, no final do período de votação, não ocorreu 
em intensidade significativa . 
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4 . 4 . 5 . 6 . 


Problemas Localizados 


Denúncias: 

Uma fantasma - urna votava "sozinha” - com vídeo 

Documentos oficiais descartados - documentos da seção eieitorai jogados 
no iixo - com vídeo 

Fraude na zerézima uma zerésima constava com 400 votos para Diima - 
com imagem 

Teclado adulterado - urna registrava 44 quando se tentava digitar 45 - com 
vídeo 

Fraude na zerésima - inseriram pen-drive na urna antes do início da votação 


Essas denúncias eram individuais e localizadas, não evidenciando um problema 
sistêmico. Os três primeiros casos acima foram esclarecidos pelo TSE logo no voto ini¬ 
cial que aprovou a auditoria. 

Em especial, o caso da zerésima com 400 votos era grosseira falsificação. Os da¬ 
dos contidos na "foto" eram contraditórios e fora da formatação normal, evidenciando 
ter sido manipulado com o uso de algum programa de edição de imagens. 

O caso de urna que repetia a tecla 4 quando esta era digitada caracteriza apenas 
um equipamento com defeito e não uma fraude pré-preparada. O equipamento deve¬ 
ria ter sido substituído. 

Ouanto a inserção do "pen-drive" não foi encontrada evidência na análise do ar¬ 
quivo de LOG. 

Consideram-se todas essas denúncias de fraude infundadas e sem potencial de 
alterar a verdade eleitoral. 
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4.5.Voto Impresso 


Já nos momentos finais da elaboração do presente relatório, no dia 16.06.2015, a 
Câmara dos Deputados aprovou, em primeira votação (433 votos a favor), a adoção 
do Voto Impresso Conferível pelo Eleitor dentro do corpo do Proposta de Emenda à 
Constituição PEC 182/07, do Senado. 

O texto aprovado na Câmara é o seguinte: 

Art. 14 (da Constituição Federai) 

§ No processo de votação eietrônica, a urna imprimirá o re¬ 
gistro de cada votação, que será depositado, de forma auto¬ 
mática e sem contato manuai do eieitor, em iocai previa¬ 
mente iacrado. 

§ O processo de votação não será conciuído até que o eiei¬ 
tor confirme a correspondência entre o teor do registro do 
seu voto, após impresso e exibido peia urna eietrônica, e o 
voto que efetuou. 

§ No processo estabeiecido nos parágrafos anteriores será 
garantido o totai sigiio do voto. (NR) 

No dia 23 de junho, os Ministros do STF Dias Toffoli (atual Presidente do TSE) e 
Gilmar Mendes (atual vice-presidente do TSE) reuniram-se com o presidente da Câma¬ 
ra e manifestaram-se contra a adoção do voto impresso nas urnas eletrônicas. 

Os argumentos apresentados pelo Min. Toffoli foram os seguintes: 

Do ponto de vista técnico, a Justiça eieitorai é contrária à in¬ 
trodução do voto impresso"^'^° e "Toda concepção da urna 
eietrônica se baseou na intenção de terminar com a inter¬ 
venção humana, que não deixa digitais muitas vezes^"'^ 

No dia 24 de junho, o Min. Ricardo Lewandowski (atual Presidente do STF e ante¬ 
rior Presidente do TSE) reuniu-se com o Presidente do Senado quando discutiu, entre 
outros temas: "... a questão do voto impresso já considerado inconstitucionai peio tri- 
bunai, peia identificação do 


140 Jornal O Globo - http://oglobo.globo.com/brasil/justica-eleitoral-contra-voto-impresso-por-questao-tecmca-diz- 
toffoli-16530449#ixzz3eeefRlal 

141 Jornal O Estado de São Paulo - http://politica.estadao. com.br/noticias/geral, toffoli-se-manifesta-contra-impressao- 
do-voto,1711932 
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Posteriormente, o Congresso Nacional aprovou projeto de lei em que se previa a 
introdução do voto impresso no Brasil a partir das eleições de 2018. 

Este dispositivo legal foi vetado pela Presidente Dilma Rousseff, sob o argumento 
de que o custo para a implantação desse sistema é de R$1,8 bilhão, conforme infor¬ 
mação do próprio TSE. 

O veto ainda se encontra pendente de apreciação. 

Diante do conflito de informações, apresentam-se, a seguir, alguns esclarecimen¬ 
tos sobre os conceitos de Voter Veriable Paper Audit Trail (VVPAT) ou Voto Impresso 
Conferível pelo Eleitor. 

4.5.1. Voto Impresso ou Recibo do Eleitor? 

É comum o entendimento que o "voto impresso" seria entregue como uma espé¬ 
cie de recibo de votação, para o eleitor o levar consigo. 

Trata-se de um entendimento incorreto. Se assim fosse, o voto impresso não teria 
como ser usado numa eventual auditoria da apuração e ainda permitiria a comprova¬ 
ção do conteúdo do voto para terceiros, o que afronta diretamente o Princípio de Invi- 
oiabiiidade do Voto Absoiuta e vulnerabiliza o eleitor perante eventual coação. 

A ideia do voto impresso conferível pelo eleitor é que o voto seja depositado 
numa urna comum, antes do eleitor deixar o local de votação, para que se possa usar 
os votos impressos em auditorias contábeis ou recontagens. 

Este fato está devidamente caracterizado no primeiro parágrafo do texto votado 
na Câmara e o recibo que é entregue ao eleitor deve conter apenas uma comprovação 
de que ele compareceu para votar e não o conteúdo do seu voto. 

4.5.2. Evolução ou Retrocesso? 

Os primeiros modelos de máquinas de votar que começaram a serem usados na 
Holanda (1991) e na índia (1992) eram equipamentos com gravação eletrônica direta 
do voto (máquinas DRE), sem Voto Impresso Conferível pelo Eleitor. No Brasil esse mo¬ 
delo foi adotado a parir de 1996^"^^ 

142 Senador Jorge Viana - http://www.jorgeviana.com.br/index.php? 
option=com_content&view=article&id=8230%3Asenadores-destacam-entendimento-para-votacao-da-reforma- 
politica&catid=22%3Afique-por-dentro&Itemid=9 

143 As urnas eletrônicas usadas na eleição de 1996, no Brasil, imprimiam uma via do voto, mas este era depositado 
numa sacola plástica comum, sem que o eleitor pudesse conferir seu conteúdo. Dessa forma, o modelo deve ser 
classificado como DRE sem VVPAT. 
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Desde então, intensificou-se o debate técnico e acadêmico sobre a real confiabili¬ 
dade dos modelos DRE e que levou ao surgimento da proposta do Voto Impresso Con- 
ferível pelo Eleitor^'''^, em 1999 no Brasil, e do Voter Veriable Paper Audit Trai! 
(VVPAT)^'^^, em 2001 nos EUA, como forma de incrementar a transparência e auditabili- 
dade do equipamento DRE. 

No Brasil, foi feita uma primeira experiência mundial com VVPAT em 2002, aco¬ 
plado em 5% das urnas eletrônicas, mas o administrador eleitoral declarou a experiên¬ 
cia insatisfatória e o Congresso Nacional revogou os dispositivos da Lei 10.408/2002 
que previa o VVPAT a partir de 2004. 

Em 2004, foi a vez da Venezuela implantar o uso pleno de equipamentos DRE 
com VVPAT em suas eleições oficiais. Por solicitação do The Cárter Center^"^^, foi esta¬ 
belecido a recontagem automática dos votos de 53% das máquinas usadas na eleição. 
O sistema vem sendo usado assim, desde então, demonstrando que os problemas ale¬ 
gados pelo TSE em 2002 foram provocados pela má implementação e não pelo concei¬ 
to de VVPAT propriamente dito. 

Entre 2006 até 2014, máquinas DRE puras, sem VVPAT, passaram a ser proibidas 
ou foram substituídas em todos os demais países que recorriam a equipamentos ele¬ 
trônicos de votação. 

Por motivos de segurança e de confiabilidade, abandonaram o sistema DRE sem 
VVPAT, os seguintes países: Alemanha, Bélgica, Holanda, Irlanda, Inglaterra, Rússia, ín¬ 
dia, EUA, Canadá, México, Venezuela, Peru, Equador, Argentina e Paraguai. 

Essa realidade indica, de maneira indubitável, que o Voto Impresso Conferível 

pelo Eleitor caracteriza uma evolução dos sistemas eleitorais eletrônicos em 

direção a maior transparência e auditabilidad e, e não um retrocesso como costuma ar¬ 
gumentar 0 administrador eleitoral brasileiro. 

Atualmente, o Brasil é o único país que ainda utiliza urnas eletrônicas sem VVPAT 
em eleições de larga escala. 

144 Brunazo F.,A. "A Segurança do Voto na Urna Eletrônica Brasileira".. In: SIMPÓSIO DE SEGURANÇA EM IN¬ 
FORMÁTICA, SSI1999, São José dos Campos. Anais... São José dos Campos: ITA, 1999. P.19-28 - 
http://www.brunazo.eng.br/voto-e/arquivos/SSI99int.zip 

145 Mercuri R. - “Electronic Vote Tabulation, Checks & Balances”. USA: University of Pennsylvania, 27/10/2000 - 
http://www.notablesoftware.com/Papers/thesdefabs.htmI 

146 “Missioón de Estúdio dei Centro Cárter - Elecciones Presidenciales en Venezuela - Informe Final”. USA: The 
Cárter Center. 14/04/2013 - 

http://www.cartercenter.org/resources/pdfs/news/peace_publications/election_reports/venezuela-final-rpt-2013-electi- 

ons-spanish.pdf 
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4.5.3. 


A Intervenção Humana 


Carece de clareza o argumento da autoridade eleitoral de que: 

Toda concepção da urna eletrônica se baseou na intenção de 
terminar com a intervenção humana, que não deixa digitais 
muitas vezes. 

A urna eletrônica brasileira, equipamento onde ocorre a captação, o registro e a 
apuração dos votos, é um equipamento projetado, desenvolvido, implementado, pro¬ 
gramado, lacrado e operado, durante 100% de sua vida útil, por humanos. Não há 
qualquer evento que ocorre dentro desses equipamentos, muitos deles registrados nos 
arquivos de LOG, que não esteja submetido ao manuseio e controle de humanos. 

É conhecimento pacífico, na área de tecnologia da informação, que computado¬ 
res são equipamentos integralmente sujeitos a erros e fraudes provocados por inter¬ 
venção humana, sendo considerado equivoco primário^'^^ entender que computadores 
possam "terminar com a intervenção humana". 

Em 2006, 0 Brennan Center for Justice da New York University School of Law pu¬ 
blicou um importante estudo^"^® de avaliação de riscos de sistemas eleitorais eletrôni¬ 
cos. Descreveu 128 possíveis tipos de fraude eleitoral e sua principal conclusão é que 
a fraude "menos difícil", ou seja, a de melhor relação custo-benefício para o fraudador, 
é a adulteração do software em máquinas DRE sem VVPAT, o que afasta definitiva¬ 
mente qualquer hipótese de que as urnas eletrônicas brasileiras eliminariam a inter¬ 
venção humana no processo eleitoral. 

Em resumo, as urnas eletrônicas brasileiras nada mais são que ferramentas pro¬ 
jetadas e utilizadas pelos oficiais e representantes da autoridade eleitoral para captar 
e contar votos. 


147 Costuma-se designar como tecno-fascinação, o comportamento deslumbrado de alguns perante as novas tecnologi¬ 
as, que os impedem de ver as fraquezas do mesmo sistema . Também se usa a expressão: “fiéis da Seita do Santo 
Baite”. 

148 Norden L.D. et al. - The Machinery of Democracy: protecting elections in an electronic world. New York: Brennan 
Center of Justice, NYU, 27/06/2006 - disponível em: 

http://www.brennancenter.org/sites/default/files/press-releases/The%20Machinery%20of%20Democracy.pdf 
Sumário executivo em: http://organikrecords.com/corporatenewslies/BrennanCenter_ExecutiveSummary.pdf, 
Sumário em português: http://www.votoseguro.org/textos/hrennan-pt.pdf 
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4.5.4. 


O Voto Impresso é inconstitucional? 


Em 2009, a Corte Constitucional da Alemanha estabeleceu jurisprudência^'^® ao 
decretar que os equipamentos de voto eletrônico DRE sem VVPAT usados em 2005 
eram inconstitucionais porque não atendiam o Princípio da Publicidade uma vez que 
eleitores e fiscais dos Partidos não tinham como conferir o processamento do seu voto. 

Decisão similar sobre foi tomada em 2013 pela Suprema Corte da índia^^°, quan¬ 
do tornou obrigatório a implantação do VVPAT em suas máquinas DRE denominadas 
EVM (Electronic Voting Machines) a partir de 2014. 

No entanto, em 2013 no Brasil, o Superior Tribunal Federal julgou exatamente no 
sentido contrário, ao declarar inconstitucional na ADI 4543^^^ o art. 5- da Lei 
12.034/2009 que previa a impressão do voto nas urnas brasileiras a partir de 2014. 

O argumento dos Ministros do STF/TSE para declarar inconstitucional a lei do voto 
impresso era que a impressão da assinatura digital do eleitor no voto violaria o sigilo. 
Porém a lei previa a impressão da assinatura digital da urna eletrônica e não do eleitor 
e, mesmo se esta fosse considerada risco ao sigilo do voto, bastaria revogar esse de¬ 
talhe da lei, não sendo necessário declarar inconstitucional o VVPAT. 

O uso em dezenas de países é uma prova irrefutável de que é possível usar o 
Voto Impresso Conferível pelo Eleitor sem violar o Princípio da Invioiabiiidade do Voto. 

Uma possível explicação para a divergência frontal entre as decisões das Cortes 
Supremas da Alemanha e da índia em relação à do Brasil é que, naquelas, os juízes 
não possuem qualquer função de administradores eleitorais, podendo julgar questões 
administrativas eleitorais com a necessária independência e isenção. 

já no Brasil, os ministros do STF acumulam a função de administradores eleitorais 
e perdem isenção para julgar casos que dizem respeito a sua própria atuação adminis¬ 
trativa. No julgamento da ADI 4543, todos os julgadores eram, foram ou seriam presi¬ 
dentes do TSE. A ministra-relatora da ADI 4543, era também a presidente do TSE. 

149 Decisão original do Tribunal Constitucional Federal da Alemanha em 03/03/2009 (em 
alemão):http://www.bundesverfassungsgericht.de/entscheidungen/cs20090303_2bvc000307.html 
Princípios e Sentença (em português): http://www.votoseguro.org/arquivos/Alemanha-ini-port.pdf 
Notícia: Tribunal alemão considera urnas eletrônicas inconstitucionais. Deutsche Welle, 03/03/2009 - 
http://www.dw-world.de/dw/article/0„4070568,00.html 

150 Decisão original da Suprema Corte da índia em 08/10/2013 (em inglês): 
http://supremecourtofindia.nic.in/outtoday/9093.pdf 

151 Acórdão do STF na ADI 4543, em 06/11/2013, disponível em: http://redir.stf.jus.br/paginadorpub/paginador.jsp? 
docTP=TP&docID=6925215#89%20-%20Inteiro%20teor%20do%20ac%F3rd%E3° 
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5. MAPAS DE RISCOS DA URNA BRASILEIRA 


Este capítulo apresenta 13 mapas de riscos do software da urna brasileira com o 
resultado da análise dos dados e códigos disponibilizados pelo TSE para os auditores. 

O resultado final mostra um cenário muito preocupante, com inúmeros riscos de 
segurança no nível crítico ou catastrófico, que podem propiciar desde sabotagens a 
mudanças de resultado de eleição. Isso tudo ocorre sem que se possa ao menos se de¬ 
parar com vestígios das fraudes nas urnas, pois o sistema atual permite que eventuais 
atacantes da urna possam, ao final do ataque, remover todos os vestígios deixados 
por eles na urna eletrônica. Constata-se que a comunidade dos agentes de ameaça in¬ 
ternos ao TSE (funcionários), pelo acesso e contato próximo do software da urna, é a 
que mais pode expor tal software aos riscos mais graves e catastróficos. Como suges¬ 
tão de melhoria, entendemos que o TSE precisa reverter essa situação com muita ur¬ 
gência, por meio de muito trabalho científico e prático baseado na transparência, ade¬ 
rência a padrões internacionais de segurança e abertura a auditorias externas inde¬ 
pendentes, incluindo testes de penetração feitos por grupos de pesquisadores nacio¬ 
nais e internacionais. 


5.1. Apresentação 


"Prediction is very difficult, especially about the future." 

(Nobel Laureate and nuclear physicist, Nieis Bohr) 

Após 0 exame de uma grande quantidade de modelos e arcabouços de análise de 
riscos empregados pela indústria da segurança da informação (incluindo os principais 
documentos sobre o assunto, entre outros: NIST SP 800-30, NIST SP 800-60, NIST SP 
800-53 e 800-53A, FIPS 200, FIPS 199, documentos ISACA), conclui-se que a aborda¬ 
gem FAIR, por se basear em uma taxonomia bastante completa, oferece o entre os 
melhores ferramentais para documentar apropriadamente os achados. A análise de 
riscos da urna é feita com base numa versão adaptada do método FAIR, sendo que al¬ 
guns termos chave estão definidos no Apêndice A e que o livro base para o método é 
"Introduction to Factor Analysis of Information Risk (FAIR)", de autoria de JackJones e 
publicado em 2006. 
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Umas das adaptações feitas ao método FAIR refere-se ao uso de valores qualitati¬ 
vos em vez de valores quantitativos para os diversos tipos de fatores usados em FAIR, 
que é uma das alternativas sugeridas, por exemplo, pelo NIST SP 800-30. O motivo 
dessa adaptação é o pouco tempo destinado para a análise e principalmente pela falta 
de informação ocasionada pelas restrições impostas pelo TSE/STI durante os trabalhos 
de auditoria. 

De acordo com a abordagem FAIR, risco de segurança é a probabilidade de 
ocorrência de algo ruim em uma instituição, combinado com a magnitude ou impacto 
provável da perda futura resultante dessa ocorrência! Em outras palavras, risco é uma 
medida do grau em que uma instituição está ameaçada por uma circunstância ou 
evento potencial, tipicamente em função do seguinte: (i) a probabilidade de ocorrência 
da circunstância ou evento; (ii) os impactos negativos prováveis que surgiriam se 
ocorrer a circunstância ou evento. 

Assim, riscos de segurança da informação são os riscos que surgem a partir da 
perda de, entre outras coisas, confidencialidade, integridade e disponibilidade da infor¬ 
mação ou dos sistemas de informação; refletem os possíveis impactos adversos para 
as operações de organização em termos de missão, funções operacionais, imagem ou 
reputação, ativos da organização e indivíduos, eventualmente atingindo outras organi¬ 
zações e até mesmo a nação como um todo (NIST SP 800-30rl). 

A avaliação de riscos é o processo de identificar, estimar e priorizar riscos de se¬ 
gurança da informação (NIST SP 800-30rl). A avaliação de risco requer a análise cui¬ 
dadosa das informações sobre ameaças e vulnerabilidades para determinar a exten¬ 
são em que circunstâncias ou eventos poderiam afetar adversamente uma organiza¬ 
ção e a probabilidade de que tais circunstâncias ou eventos irá ocorrer. 

O método de avaliação de risco adotado inclui o processo e modelo de avaliação 
de riscos FAIR, que define explicitamente os termos-chave e fatores de risco passíveis 
de avaliação e as relações entre os fatores. A abordagem de avaliação é qualitativa 
(NIST SP 800-30rl), especificando-se o intervalo ou faixa de valores probabilísticos 
que esses fatores de risco podem assumir na avaliação de riscos e como os fatores de 
risco são identificados e analisados para que os valores desses fatores possam ser 
funcionalmente combinados para avaliar o risco. Em FAIR, a abordagem de análise é 
orientada a estimar os impactos potenciais causados por agentes de ameaças em ati¬ 
vos iassets) da instituição. 
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As conclusões desta avaliação de riscos são as seguintes: 

• Apesar das restrições impostas pelo TSE ao trabalho de auditoria e pelo pou¬ 
co tempo disponibilizado para que os auditores pudessem examinar a urna 
brasileira, identificamos e descrevemos 11 principais assets, potenciais alvos 
de ataques de agentes de ameaça; 

• Identificaram-se 3 categorias de comunidades de agentes de ameaça que se 
aplicam ao software da urna, que se distribuem em 16 categorias de subco- 
munidades de agentes de ameaça; 

• Dentre os principais assets, cerca de 9, se atacados por agentes de ameaça 

apropriados, exporiam o software da urna a riscos catastróficos/gravíssimos; 

• Não se tem informação alguma sobre ataques que a urna brasileira possa ter 

sofrido no passado, mas a situação que relatamos através dos mapas de ris¬ 
cos mostram uma situação muito preocupante; 

• A urna brasileira está vulnerável a diversos tipos de ataques, desde atos de 

sabotagem a atos que podem mudar os resultados de uma eleição; 

• Além da urna estar vulnerável a ataques dos mais diversos tipos, muitos ata¬ 
ques podem, em muitos casos, ao seu final ter removidos todos os eventuais 
vestígios deixados por eles na urna eletrônica durante o ataque. Um crime 
perfeito! 

• Finalmente, constata-se que a comunidade de agentes de ameaça internos 
ao TSE, identificados por InT abaixo, pelo acesso e contato próximo, é a que 
mais pode expor os assets estudados aos riscos mais graves e catastróficos; 

Como recomendação, entende-se que o TSE precisa reverter essa situação com 
muita urgência, por meio de muito trabalho científico e prático baseado na transparên¬ 
cia, aderência a padrões internacionais de segurança e abertura a auditoria externa in¬ 
dependente (por meio de licitação), incluindo testes de penetração feitos por grupos 
de pesquisadores nacionais e internacionais. 


5.2. Comunidades de Agentes de Ameaça à Urna Brasileira 

De acordo com o modelo de análise de riscos FAIR, comunidades de agentes de 
ameaça são subgrupos da população total de agentes de ameaça que partilham ca- 
racterísticas-chave. A seguir, enumera-se uma forma de caracterizar comunidades de 
agentes de ameaça à urna brasileira, em que se identificam três tipos de comunida¬ 
des, rotuladas por CAAl, CAA2 e CAA3, onde "CAA" é um acrônimo para "Comunidade 
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de Agente de Ameaça". Identificaram-se também as principais subcomunidades den¬ 
tro de cada comunidade, rotuladas com um número inteiro entre parêntesis, sem se 
preocupar em esgotar todas as possibilidades. 


CAAl: Interno ao TSE/STI (Comunidade de Agentes InT): 

• O agente de ameaça tem vínculo formal com o TSE/STI, operando na gerên¬ 
cia, desenvolvimento do software, compilação final do software da urna eletrô¬ 
nica ou como consultor formalmente contratado pelo TSE/STI para tarefas es¬ 
pecíficas; 

• Tem acesso privilegiado ao projeto e ao software da urna, em grau variado de 
acesso; 

• Tem informação privilegiada tanto do projeto quanto do software da urna, em 
grau variado de conhecimento; 

• Exemplos de subcomunidades de agentes de ameaça do tipo InT: (1) desen¬ 
volvedores de software do STI, (2) funcionários em cargos de gerência do 
STI, (3) consultores envolvidos no projeto e desenvolvimento dos softwares 
da urna etc. 

Observações: 

a) Não se está acusando ou se insinuando que alguma pessoa específica que 
se enquadra em um dos tipos de agente de ameaça InT fez, faz ou fará qual¬ 
quer tipo de ataque ás urnas; 

b) Isto apenas ilustra um reconhecimento que alguma pessoa que se enquadra 
na categoria InT potencialmente poderá, em situações especiais e por motiva¬ 
ção própria diversa ou sob coação de algum tipo, estar apta a perpetrar algum 
tipo de ataque ãs urnas; 

c) A numeração acima é usada apenas para indicar de forma breve o tipo de 
agente de ameaça desta categoria; de nenhuma forma indica que os números 
de menor valor oferecem maior ameaça em comparação com os de maior va¬ 
lor, pois isso dependerá de cada tipo de asset e das correspondentes vulnera¬ 
bilidades envolvidas com cada agente de ameaça; 
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d) Representação de comunidades de agentes de ameaça: 

• Utilizada nos diagramas representativos dos mapas de riscos: [CAAl: (nr. 

da subcomunidade)]; por exemplo, [CAA1:1], que representa [Comunida¬ 
des de Agentes de Ameaça: InT; Subcomunidade: (1) desenvolvedores de 
software do STI]; 

• Utilizada nos textos descritivos dos mapas de riscos, temos dois tipos al¬ 
ternativos, exemplificados com base no item acima: 

o [InT: (1) desenvolvedores de software do STI]; 
o [lnT:(l)]. 


CAA2: Externo Com Vínculo com TSE/STI (Comunidade de Agentes ExTCom- 

Vinc) : 

• O agente de ameaça tem algum tipo de vínculo com o TSE/STI ou trabalha na 
área de TI de parceiros formais do TSE/STI, a saber, empresas ou órgãos as¬ 
sociados formalmente ao projeto da Urna, tais como CEPESC/ABIN, Diebold, 
Módulo, produtora do chip MSD, fabricante e desenvolvedor do BIOS e funci¬ 
onário formalmente contratado para distribuição de mídia por meio de empre¬ 
sas contratadas por processo licitatório (como a Smartmatic e outras contrata¬ 
das), ou opera de maneira informal em conluio com funcionário do TSE/STI 
ou de parceiro; 

• Tem acesso privilegiado ao projeto e ao software da urna, em grau variado de 
acesso; 

• Tem informação privilegiada tanto do projeto quanto do software da urna, em 
grau variado de conhecimento; 

• Exemplos de subcomunidades de agentes de ameaça do tipo ExTComVinc: 
(1) ex-funcionário desenvolvedor de software do TSE/STI em conluio com fun¬ 
cionário desenvolvedor de software ou gerente do TSE/STI, (2) hacker em 
conluio com funcionário desenvolvedor de software ou gerente do TSE/STI, 
(3) hacker em conluio com funcionário de parceiro do TSE/STI, (4) ex-funcio- 
nário desenvolvedor de software ou gerente do TSE/STI em conluio com fun¬ 
cionário de parceiro do TSE/STI, (5) funcionário de parceiro do TSE/STI dedi¬ 
cado á urna eletrônica, (6) ex-funcionário desenvolvedor de software do 
TSE/STI em conluio com funcionário de fabricante que desenvolve o BIOS 
etc. 
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Observações: 


a) Não se está acusando ou se insinuando que alguma pessoa específica que 
se enquadra em um dos tipos de agente de ameaça ExTComVinc fez, faz ou 
fará qualquer tipo de ataque às urnas; 

b) Isto apenas ilustra um reconhecimento que alguma pessoa que se enquadra 
na categoria ExTComVinc potencialmente poderá, em situações especiais e 
por motivação própria diversa ou sob coação de algum tipo, estar apta a per¬ 
petrar algum tipo de ataque ãs urnas; 

c) A numeração é usada apenas para indicar de forma breve o tipo de agente de 
ameaça desta categoria; de nenhuma forma indica que os números de menor 
valor oferecem maior ameaça em comparação com os de maior valor, pois 
isso dependerá de cada tipo de asset e das correspondentes vulnerabilidades 

envolvidas com cada agente de ameaça; 

d) Representação de comunidades de agentes de ameaça: 

• Utilizada nos diagramas representativos dos mapas de riscos: [CAA2: (nr. 

da subcomunidade)]; por exemplo, [CAA2:1], que representa [Comunida¬ 
des de Agentes de Ameaça: ExTComVinc; Subcomunidade: (1) ex-funcio- 

nário em conluio com funcionário do TSE/STI]; 

• Utilizada nos textos descritivos dos mapas de riscos, temos dois tipos al¬ 
ternativos, exemplificados com base no item acima: 

o [ExTComVinc: (1) ex-funcionário em conluio com funcionário do 

TSE/STI]; 

o [ExTComVinc; (1)] 


CAA3: Externo Sem Vínculo com TSE/STI (Comunidades de Agentes ExTSem- 

Vinc): 

• O agente de ameaça não tem vínculo formal algum com o TSE/STI nem com 
parceiros contratados; 

• Pode ter ou não alguma informação privilegiada; 

• Exemplo: (1) hackers, (2) ex-funcionários desenvolvedores de software ou ge¬ 
rentes sem ligação interna com o TSI, (3) hackers associados a mesários e 
presidente de mesa de seção eleitoral, (4) fiscais de partidos atuando no TSE, 
(5) auditores externos atuando no TSE/STI (por exemplo, os auditores desta 
Auditoria Especial), (6) mesários de seção eleitoral, (7) cidadão comum etc. 
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Observações: 


a) Não se está acusando ou se insinuando que alguma pessoa específica que 
se enquadra em um dos tipos de agente de ameaça ExTSemVinc fez, faz ou 
fará qualquer tipo de ataque às urnas; 

b) Isto apenas ilustra um reconhecimento que alguma pessoa que se enquadra 
em ExTSemVinc potencialmente poderá, em situações especiais e por moti¬ 
vação própria diversa ou sob coação de algum tipo, estar apta a perpetrar al¬ 
gum tipo de ataque ãs urnas; 

c) A numeração acima é usada apenas para indicar de forma breve o tipo de 
agente de ameaça desta categoria; de nenhuma forma indica que os números 
de menor valor oferecem maior ameaça em comparação com os de maior va¬ 
lor, pois isso dependerá de cada tipo de asset e das correspondentes vulnera¬ 
bilidades envolvidas com cada agente de ameaça; 

d) Representação de comunidades de agentes de ameaça: 

• Utilizada nos diagramas representativos dos mapas de riscos: [CAA3: (nr. 

da subcomunidade)]; por exemplo, [CAA3:1], que representa [Comunida¬ 
des de Agentes de Ameaça: ExTSemVinc; Subcomunidade: (1) hackers]; 

• Utilizada nos textos descritivos dos mapas de riscos, temos dois tipos al¬ 
ternativos, exemplificados com base no item acima: 

o [ExTSemVinc: (1) hackers]; 
o [ExTSemVinc: (1)] 


A informação privilegiada é um diferencial entre agente interno (InT), externo 
com algum tipo de vínculo ao TSE/STI (ExTComVinc) e externo sem nenhum tipo de 
vínculo ao TSE/STI (ExTSemVinc). No geral, o agente InT ou ExTComVinc tem mais in¬ 
formação do que o agente ExTSemVinc. Mas o maior diferencial é o acesso físico ou 
virtual aos ambientes e recursos e também o acesso a mais informação, quando ne¬ 
cessário. A maior oportunidade de acesso físico a ambientes, recursos e informação 
pode favorecer o agente a ter menos dificuldade para cometer uma fraude ou introdu¬ 
zir um "backdoor" no ambiente alvo, de acordo com a seguinte ordem do maior para o 
menor: InT >= ExTComVinc >> ExTSemVinc, onde "> = " significa "maior ou igual", e 
">>" significa "muito maior". 
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5.3. Mapas de Riscos: Descrição Detalhada 

Nesta seção, associamos, de acordo com o modelo de análise de riscos FAIR, 
uma comunidade de ameaça a cada um dos assets ou ativos das urnas eletrônicas. 

Em FAIR, no contexto de risco da informação, podemos definir Asset como qualquer 
dado, dispositivo ou outro componente do ambiente que apoia as atividades relaciona¬ 
das com um sistema de informação, que podem ser ilicitamente acessados, usados, 
divulgados, alterados, destruídos ou roubados, resultando em perda de algum tipo 
para a instituição detentora do Asset. 

A esse par (asset, ameaça), após a análise de riscos FAIR, obtemos um valor de 
Risco Geral. Para identificar o par nos diagramas ou mapas de riscos, agregamos um 
rótulo, aqui representado pelo termo Tag, ao par. Um Tag, por sua vez, tem a seguinte 
estrutura: {[tag do Asset]:[tag da Comunidade de Ameaça]:[tag da Subcomunidade de 
Ameaça]. 

Dessa forma, um mapa de risco corresponderá a uma quádrupla formada por 
esses quatro elementos: [Tag:, Asset:, Comunidade de Ameaça:, Risco Geral:]! 

Por exemplo, o primeiro mapa de risco analisado corresponde ao [Tag: A1:CA- 
A2:2, Asset: Compilador Open Source GCC GNU, Comunidade de Ameaça: ExT- 
ComVinc: (2) hacker em conluio com funcionário desenvolvedor de software 
ou gerente do TSE/STI, Risco Geral: Crítico ou Catastrófico]. Esse mapa de risco 
pode ser representado de forma sintética da seguinte forma em alguns diagramas ou 
para referência textual: [A1:CAA2:2, Crítico], [A1:CAA2:2, C] ou apenas [A1:CA- 
A2:2] quando não se está interessado no valor do impacto. 

Como definimos 11 assets no nosso estudo e 16 subcomunidades de agentes de 
ameaça, se fôssemos ser exaustivos, teríamos que contabilizar a apuração de 11x16 
= 176 riscos ao software da urna. 

Por limitação de tempo e de acesso a informações necessárias, iremos estudar 
apenas alguns riscos mais importantes. Para reduzir o número de estudos, associare¬ 
mos a cada asset apenas uma subcomunidade para cada comunidade de agentes de 
ameaça listados na seção anterior, geralmente a subcomunidade que possuímos mais 
informação aplicável ao dado asset. 

Como exceção e com o objetivo de ilustrar, associamos ao asset Al três tipos 
diferentes de comunidades de agentes de ameaça. 
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Como resultado do estudo, encontramos 09 riscos do tipo Crítico ou Catastrófi¬ 
co, 01 de Médio a Crítico, 01 de Baixo a Médio e 02 Baixo, totalizando 13 riscos exami¬ 
nados. 


A seguir descrevemos cada um dos 13 riscos identificados no presente trabalho. 
Começaremos nossa análise pelo agente de ameaça [CAA2:2] por ele apresentar mai¬ 
or potencial de explorar o asset Al e ajudar a exemplificar melhor a aplicação da abor¬ 
dagem FAIR. 


Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A1:CAA2:2 

Al: Compilador Open 

Source GCC GNU 

ExTComVinc: (2) hacker em con¬ 
luio com funcionário desenvolvedor 

de software ou gerente do TSE/STI 

Crítico ou Catastrófico 


1 - Probabilidade de Ocorrência de Evento de Ameaça (Threat Event Fre- 
quency - TEF) 


ATEF é a probabilidade de ocorrência, dentro de um determinado prazo, que 
um agente de ameaça vai entrar em contato e agir contra um ativo. ATEF é composta 
de dois fatores. Contato e Ação, pressupondo-se que a Ação só ocorrerá se houver an¬ 
tes algum tipo de Contato. 

Para esta etapa, estamos definindo TEF = VH {Very High ou Muito Alta), por 
causa dos seguintes dois fatores: 

• Contato = {Modo de Contato: Físico e Lógico, Tipo de Contato: Intencional} = 
VH, que é a probabilidade de ocorrência que um agente de ameaça, dentro 
de um determinado prazo, entrará em contato com o asset. O hacker tem 
contato lógico, o funcionário em conluio tem contato lógico e físico e ambos 

procuram intencionalmente o asset GCC para fraudá-lo de alguma forma; 

• Ação = {Valor do Asset: VH, Nível de Esforço: L, Risco: L} = VH, que é a pro¬ 
babilidade de que um agente de ameaça agirá contra o asset uma vez que o 
contato ocorra! 
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Observações: 

a) Considera-se a seguinte classificação para valores de Probabilidade de Ocorrên¬ 
cia, lembrando que nesta análise é feito uso apenas dos valores como probabili¬ 
dades, não como frequências: 


Rating 

Descríption 

Very High (VH) 

> 100 times per year 

High (H) 

Between 10 and 100 times per year 

Moderate (M) 

Between 1 and 10 times per year 

Low(L) 

Between .1 and 1 times per year 

Very Low (VL) 

< .1 times per year (iess than once every ten years) 


b) Considerando o fator Contato, tem-se os seguintes valores para cada subfator 
associado: 

■ O Valor do asset tem valor VH, considerando-se sempre do ponto de vista do 
agente de ameaça: usando o compilador GCC, o agente de ameaça pode es¬ 
palhar ao máximo a sua ameaça; 

■ O Nível de Esforço para comprometer o asset é moderado ou M, dado que o 
código do GCC é aberto, não é auditado pelo TSE/STI e o agente de ameaça 
supõe-se ter nível de conhecimento alto o suficiente para manipular o GCC, 

além de nível de contato VH com o asset; 

■ O Risco do agente de ameaça é baixo ou L, dado que a probabilidade de 

ocorrência de consequências negativas para o agente de ameaça ser baixa 
(L) - ou seja, tudo que ele fizer poderá ser mantido incógnito ou ser desfeito 

sem que o TSE/STI, com os controles atuais, tome conhecimento; 

c) Dado que (i) o contato do agente de ameaça com o asset tem probabilidade de 

ocorrência muito alta (VH) e que a Ação contra o asset pelo agente de ameaça é 
facilitada pelo alto interesse em atuar no asset; (ii) não será muito difícil o agente 
de ameaça lidar com o asset (M); (iii) o risco do agente de ameaça de lidar com o 
asset é baixo (L), então pode-se considerar que a probabilidade de ocorrência do 
agente de ameaça do tipo [ExTComVinc, (2) hacker em conluio com funcionário 
desenvolvedor de software ou gerente do TSE/STI] entrar em contato com o as¬ 
set e agir contra o asset será muito alta (VH), pois os ganhos poderão ser altos e 
a possibilidade de sofrer sanções provavelmente será pequena; 
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d) Tanto o contato quanto a ação da comunidade de ameaça ExTComVinc é extre¬ 
mamente facilitada pelo seguinte: 

• O compilador GCC GNU é de domínio público com fontes abertos e bem do¬ 
cumentados, possuindo um grande número de colaboradores voluntários; 

• Segundo despacho do Ministro, o TSE não tem controles de segurança sobre 

as versões de compiladores utilizadas; 

• O TSE, por meio da Resposta ã Petição 17 desta Auditoria Especial, informa 
que “Não há políticas estabelecidas pela instituição (TSE) de auditoria 
sobre esses compiladores”'. Foi informado que apenas “a versão do compi¬ 
lador é atualizada, em geral, após a realização de cada eleição quando se ini¬ 
cia um novo ciclo de especificação e desenvolvimento de software”. 

e) O nível de dificuldade de se alterar um compilador Open Source é baixo (L), pois 

o fonte é bem documentado e aberto, independentemente do tipo de agente de 
ameaça; 

f) O nível de dificuldade de se introduzir uma “porta dos fundos”, nesta alteração do 
compilador, é baixo, pois existem muitos pontos em que se pode colocar a “porta 

dos fundos”, independentemente do tipo de agente de ameaça; 

g) O nível de dificuldade de se introduzir diretamente uma fraude no compilador por 

uma comunidade de agentes de ameaça do tipo [ExTComVinc: (2)] é baixo (L), 
pois quanto mais informações privilegiadas, menos difícil de se introduzir direta¬ 
mente uma fraude; 

h) O nível de dificuldade de se introduzir uma fraude ou uma “porta dos fundos" no 
compilador utilizado, especialmente se tiver vínculo de colaboração com a comu¬ 
nidade livre de desenvolvedores do GCC GNU, é Moderado (M), pois é preciso 
fazer as modificações de maneira que não sejam facilmente percebidas e com 
grande antecedência em relação ãs datas das eleições. 


2 - Capacidade de Ameaça (Threat Capability - TCAP) 


ATCAP designa o nível provável de força que um agente de ameaça é capaz de 
aplicar contra um asset. Neste caso, estimamos que um agente de ameaça ExTCom¬ 
Vinc apresenta TCAP = H; ou seja, que pelo menos 84% da comunidade de ameaça 
representada pelo [ExTComVinc: (2)] é capaz de aplicar uma força alta (H) contra (ou 
atacar) o compilador GCC GNU. Três motivos explicam essa possibilidade: (i) su- 
põe-se que o agente de ameaça tenha forte conhecimento computacional; (ii) esse 
tipo de ataque nem é adequadamente catalogado na literatura; (iii) e o TSE/STI não 
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audita as versões atualizadas do compilador usadas no desenvolvimento do software 
da urna. 


Considera-se a seguinte classificação para valores de capacidade de ameaça 
(TCAP): 


Rating 

Oescríption 

Vefy High (VH) 

Top 2% when compared against the overall threat population 

High (H) 

Top 16% when compared against the overall threat population 

Moderate (M) 

Average skili and resources (tjetween bottom 16% and top 16%) 

Low (L) 

Bottom 16% when compared against the overall threat population 

Very Low (VL) 

Bottom 2% when compared against the overail threat population 


3 - Força do Controle (Control Strenght - CS) 


A CS designa a força de um controle de segurança de um asset para resistir à 
força que um agente de ameaça é capaz de aplicar contra o asset. Neste caso, estima¬ 
mos que CS = L, por tudo que foi citado no item 1 acima. O valor L = Low, neste caso, 
indica que os controles de segurança do compilador GCC GNU e o seu acesso apenas 
protegem contra 16% da comunidade de ameaça representada pelo [ExTComVinc: 

(2)]. O fato do TSE/STI não auditar as versões atualizadas do compilador GCC GNU ex¬ 
plicam o baixo valor de CS. O valor só não é mais baixo (VL = Very Low) porque a difi¬ 
culdade de manipular o asset para produzir uma fraude ou introduzir um "backdoor" 
em si constitui uma forma de controle de segurança do asset. 

Considera-se a seguinte classificação para valores de força do controle (CS): 


Rating 

Descríption 

Very High (VH) 

Protects against all but the top 2% of an avg. threat population 

High (H) 

Protects against all but the top 16% of an avg. threat population 

Moderate (M) 

Protects against the average threat agent 

Low (L) 

Only protects against bottom 16% of an avg. threat population 

Very Low (VL) 

Only protects against bottom 2% of an avg. threat population 


4 - Vulnerabilidade (VULN) 


No item 2 acima, examinamos o grau do agente de ameaça comprometer o asset 
(TCAP = H); e em 3, a capacidade do asset resistir à ameaça (CS = L). 
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Vulnerabilidade, de acordo com o modelo de análise de requisitos FAIR, é a pro¬ 
babilidade de que um asset será incapaz de resistir às ações de um agente de amea¬ 
ça. Ou seja, TCAP e CS são fatores de VULN. Neste caso, uma vulnerabilidade existe 
quando há uma diferença entre a força sendo aplicada pelo agente de ameaça e a ha¬ 
bilidade (ou a qualidade dos controles e salvaguardas de segurança) de um asset re¬ 
sistir àquela força. 

Essa diferença é retratada pela tabela de Vulnerabilidade abaixo, onde o eixo ver¬ 
tical representa a TCAP e o eixo horizontal a CS. Assim, VULN = (TCAP = Fl, CS = L) = 
VH; ou seja, a vulnerabilidade do asset compilador GCC GNU em relação à comunida¬ 
de de ameaça representada pelo [ExTComVinc: (2) hacker em conluio com funcionário 
desenvolvedor de software ou gerente do TSE/STI] é muito alta ou VFI. 



í 



5 - Probabilidade de Ocorrência de Evento de Perda {Loss Event Frequency - LEF) 


A LEF é a probabilidade de ocorrência, dentro de um determinado período de 
tempo, de uma ação pelo agente de ameaça capaz de infligir danos em ou comprome¬ 
ter um asset. O método FAIR básica determina LEF através da tabela de consulta a se¬ 
guir, que leva em consideração as dimensões "Probabilidade de Ocorrência de Evento 
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de Ameaça" ("Threat Event Frequency - TEF) e "Vulnerabilidade" ("Vulnerability" - 
VULN). 

Para esta etapa, foi definido LEF = VH . porque, de acordo com a fase 1, TEF = 
VFI, e, de acordo com a fase 4, VULN = VFI resultando no valor conforme a tabela. 



6 - Estimativa de Perda do Pior Caso {Worst-Case Loss - WCL) 

A partir desta fase, descreve-se a outra metade da equação de risco: os fatores 
que impulsionam a perda de magnitude quando ocorrem eventos de ameaça. Pelo mo¬ 
delo de análise de riscos FAIR básico, existem dois tipos de perda: pior caso (WCL) e 
perda provável (ou esperada - PLM). Nesta fase será tratado o WCL. O FAIR pede para 
determinar a ação de ameaça {threat action/event) que mais provavelmente resultaria 
em um resultado de pior caso, estimar a magnitude para cada forma de perda {loss 
form) associada a essa ação de ameaça, e "somar" a magnitude de perda resultante. 

A perda potencial de um asset deriva do valor que ele representa para uma or¬ 
ganização ou da responsabilidade que o valor do asset atrela a uma organização. Ou 
seja, a perda é sempre avaliada da perspectiva da organização sob análise. Por exem¬ 
plo, embora clientes possam se prejudicar pelo roubo de informação pessoal, a análise 
nesta fase se centra em verificar o grau de perda experimentada pela organização em 
vez de se preocupar com as perdas experimentadas pelos clientes. 
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Seis formas de perda são definidas dentro do FAIR: produtividade iproductivity), 
resposta {response), substituição {replacement), multas e decisões judiciárias 
{fines/judgments), vantagem competitiva {competitive advantage) e reputação {repu¬ 
tado n). 

Todos os fatores de perda caem dentro de uma das quatro categorias seguintes: 
asset, ameaça, organização e externo. Fatores de perda de asset e de ameaça são re¬ 
feridos como fatores de perda primários ou principais, enquanto fatores de perda de 
organização e externos são referidos como fatores de perda secundários. Por isso, 
para definir o Impacto Provável da Perda {Probable Loss Magnitude - PLM), FAIR define 
dois grupos de fatores de perda: Principal {Primary) e Secundária {Secondary). 

Por simplicidade e pelo fato da Auditoria Especial ter sido impedida de realizar 
as análises devido às restrições da auditoria impostas pelo TSE, aqui não se analisam 
os fatores de perda organizacional e de perda externa, que compõem os Fatores de 
Perda Secundária {Secondary Loss Factors). Com isso, ao estimar o WCL dos Fatores 
de Perda Secundária, o que está sendo definido é o WCL do impacto ou magnitude da 
perda. 

Os Fatores de Perda Principais são compostos por Fatores de Perda do Asset e 
Fatores de Perdas de Ameaças. Os Fatores de Perda do Asset são constiduídos pelos 
seguintes subfatores: Valor e Volume. O subfator Valor é descrito por Criticidade, Custo 
e Sensibilidade, do ponto de vista da organização. A Criticidade diz respeito ao impac¬ 
to que 0 asset comprometido pode ter na produtividade da organização; o Custo, com 
as despesas associadas a substituir ou consertar um asset comprometido; e a Sensibi¬ 
lidade, com 0 impacto resultante do asset comprometido expor informação confidenci¬ 
al ou anonimato, por exemplo. 

No caso do asset GCC GNU, a Criticidade é VFI, pois o asset comprometido po¬ 
derá ser usado no mínimo para sabotar uma eleição; o Custo poderá ser Fl para substi¬ 
tuir 0 compilador, pois envolverá auditoria sofisticada para provar que a versão nova 
do Compilador GCC GNU não estará comprometida; e a Sensibilidade é VFI, pois infor¬ 
mação sigilosa, como o voto do eleitor, poderá ser exposta e/ou alterada. Consideran¬ 
do então 0 valor do pior caso, o subfator Valor = {Criticidade = VFI, Custo = Fl, Sensi¬ 
bilidade = VFI} = VFI. 

O subfator Volume simplesmente reconhece que mais versões do asset em risco 
fariam o impacto da perda maior. Embora apenas uma versão do GCC GNU seja em¬ 
pregada em cada eleição peloTSE/STI, essa versão será distribuída e utilizada por 
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todo 0 STI, aumentando o grau do impacto ou magnitude da perda potencial. Assim, o 
subfator Volume = VH. 

Assim, tem-se que os Fatores de Perda do Asset = {Valor = VH, volume = VH}. 
Considerando o valor do pior caso, o valor de Fatores de Perda do Asset = VH. 

Os Fatores de Perda das Ameaças é composto de três subfatores: Ação, Compe¬ 
tência em Agir, Agente Interno versus Externo. Como esses dois últimos subfatores fo¬ 
ram aqui usados para definir as Comunidades de Agentes, eles serão desconsiderados 
neste ponto. 

Os agentes de ameaça podem assumir uma ou mais das seguintes ações contra 
um asset: 

• Acessar - Acesso não autorizado simples 

• Usar indevidamente - Utilização não autorizada de assets 

• Divulgar - O agente de ameaça divulga ilicitamente informações confidenciais 

• Modificar - Alterações não autorizadas ao asset 

• Negar acesso - Inclui a destruição, roubo de um asset não dados, etc. 

A seguinte tabela será usada para mensurar probabilidades de impacto ou mag¬ 
nitude, sem considerar faixas de valores financeiros decorrentes dos impactos, como 
usual no FAIR: 


Magnitude 


Severe (SV) 
High (H) 
Significant (Sg) 
Moderate (M) 
Low(L) 
Very Low (VL) 


O diagrama a seguir é usado para se exibir as estimativas de formas de perdas 
para cada tipo de ações de ameaças, ajudando a se definir as perdas de pior caso. No 
caso do asset GCC GNU, apenas a ação de ameaça Modificar é a que faz mais sentido. 

Estimamos que a forma de perda Fine/Judgments é H (High), pois se o asset for 
comprometido e o julgamento ocorrer em um tribunal diferente, por suposição, a orga¬ 
nização TSE/STI poderia ser condenada a multas e decisões judiciais de grande valor 


p. 172 de 217 


financeiro, por causa de eventuais problemas com eleições fraudadas ou no mínimo 
sabotadas. 

Estimamos que a forma de perda Reputation é SV (Severe), pois se o assetfor 
comprometido e se provar esse comprometimento (que ao final leve à introdução de 
fraude ou "porta dos fundos" e se comprove eventual resultado indevido numa eleição 
ou sabotagem virtual que atrapalhe a eleição), a reputação da organização TSE/STI po¬ 
deria ser severamente abalada. 

Estimamos que a forma de perda Competitive Advantage também poderia ser 
SV, pois 0 asset comprometido poderia atrapalhar eventual vantagem competitiva das 
urnas brasileiras. Estimamos que as demais formas de perdas são VL {Very Low) ou in¬ 
significantes se 0 asset for comprometido. 


Threat Actions Productivity 


Access 

M(SUSC 

Dect«ur9 
MotMcBion 
D©ny Access 


VL 


Loss Fofms 

Respcxise Replacement Rne/Judgments Comp. Adv. Reputation 


VL VL H 


Como resultado, a perda no pior caso ou WCL = SV para os Fatores de Perda 
Principal {Primary Loss Factors) e, em consequência, o WCL do impacto ou magnitude 
da perda também será SV! 


7 - Impacto Provável da Perda (Probable Loss Magnitude = PLM) 


Lembre-se que o Impacto Provável de Perda ou PLM será representado apenas 
pelos Fatores de Perda Principal. O FAIR pede para determinar a ação de ameaça mais 
provável de ocasionar de um resultado esperado, estimar a magnitude para cada for¬ 
ma de perda associada a essa ação de ameaça, e "somar" a magnitude ou impacto da 
perda. 

A Perda provável é para a maior parte da análise e sempre vai ser menor que ou 
igual à perda do "pior caso". Neste caso, vai ser igual ao cálculo feito no item anterior 
para o pior caso (WCL), por falta de informações decorrente das limitações da audito- 
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ria imposta pelo TSE. Ou seja, o valor mais provável dos Fatores de Perda Principal 
será igual a SV, de modo que, por consequência, o Impacto Provável da Perda é dado 

por PLM = SV. 


8 - Derivar o Risco Gerai 


Considerando o asset GCC GNU e a comunidade de ameaça [ExTComVinc: (2) 
hacker em conluio com funcionário desenvolvedor de software ou gerente do TSE/STI], 
0 risco geral é dado pela tabela a seguir que mescla a Probabilidade de Ocorrência de 
Evento de Perda ou LEF = VH e o Impacto Provável da Perda ou PLM = SV 


PLM 








Severe 

H 

H 

C 


C 

High 

M 

H 

H 

C 

C 

% 

Significant 

M 

M 

H 

H 

i c 

Moderate 

L 

M 

M 

H 

H 

Low 

L 

L 

M 

M 

Sm 

E 

Very Low 

L 

L 

M 

M 

1“ 


VL 

L 

M 

H 

VH 


LEF 

Como resultado, o Risco Gerai é iguai a Crítico (C), conforme tabela também 
abaixo com valores de risco. Em alguns modelos e arcabouços de riscos o Risco Crítico 
equivale a Catastrófico ou Gravíssimo, que dá uma perspectiva mais realista do grau 
de problemas decorrentes. 
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Risk Levei 


Key 


c 

Criticai 

H 

High 

M 

Médium 

L 

Low 


9 - Comentários Complementares 


a) Possibilidade de detecção após a introdução da fraude ou do 
"backdoor": 

• Muito baixa, mesmo que o TSE/STI melhore muito os controles de segurança e 
nível de auditoria atuais da urna. 


b) Facilidade de distribuição: 

• Fraude direta: 

■ Muito alta, pois poderá atingir a totalidade dos programas compilados pelo TSE. 

• Explorar a "porta dos fundos": 

■ Moderada, pois a "porta dos fundos" facilitaria muito a introdução de uma fraude, 
mas continuaria sendo necessário instalar a fraude propriamente dita em outro 
ponto. 


c) Potencial de danos: Catastrófico 

• Se a fraude for bem feita, será praticamente impossível detectá-la com o nível de 
auditoria interna atual; 

• Poderá com facilidade alterar o resultado de uma eleição ou no mínimo promover 
uma sabotagem impedindo a realização do pleito! 


d) Agravantes do potencial de danos: 
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Caso 0 agente de ameaça [ExTComVinc: (2) hacker em conluio com funcio¬ 
nário do TSE/STI] também seja colaborador da comunidade de desenvolvimento 
do software livre Compilador GCC GNU, o cenário ficará mais crítico, pois o se¬ 
guinte poderá acontecer: 

i) A fraude poderá ser utilizada em mais de uma eleição. 

ii) Uma "porta dos fundos" bem elaborada não dependerá de uma eleição isolada, 
de modo que será mais eficiente fraudar inúmeras eleições. 

iii) Uma associação do "backdoor" e da fraude direta poderá potencializar os danos. 

iv) O Compilador GCC GNU poderia apresentar "portas dos fundos" previamente 
instaladas para uso genérico (ilação possível, pois até a Microsoft e a Intel já 
confirmaram ter feito uso de "porta dos fundos" em seus sistemas operacionais e 
microprocessadores, respectivamente), o que facilitaria o trabalho do agente de 
ameaça em criar uma "porta dos fundos" específica ou instalar uma fraude 
acoplada mais facilmente ainda. 


e) Conclusão sobre o asset Compilador GCC GNU comprometido pelo 

agente de ameaça [ExTComVinc: (2) hacker em conluio com funcionário 
do TSE/STI]: 

O Risco resultante é Crítico/Catastrófico/Gravíssimo devido ao seguinte: 

• Será relativamente fácil de se fazer e introduzir uma fraude no asset, bem como 
distribuí-lo por todo o TSE/STI. 

• Existe um potencial enorme de causar danos, que poderão variar de uma simples 
(mas nociva) sabotagem até a possibilidade de se mudar os resultados de uma 
eleição! 

• Poderá ser usado em conjunto com outros assets comprometidos. 

• Potencial existência prévia de "portas dos fundos" que não foram desenvolvidas 
para as eleições brasileiras, mas poderiam ser explorados para facilitar a 
execução de diversos tipos de fraude. 

• A auditoria e fiscalização permitida aos partidos pelo TSE/STI é insuficiente para 
detectar uma fraude que explore as vulnerabilidades deste asset. 

• O TSE/STI confirmou que não realiza auditoria específica (Resposta à Petição 17 
desta Auditoria Especial) capaz de verificar se o asset Compilador GCC GNU está 
comprometido ou não. 
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• Pelo que notou-se quando da avaliação do software da urna, devido aos 

problemas de inadequação da metodologia de desenvolvimento empregada e da 
documentação do software produzido, bem como pela confissão documentada do 
TSE/STI de não realizar auditoria de softwares de terceiros usados na urna 
(Resposta à Petição 17 desta Auditoria Especial), em especial do software de 
criptografia do CEPESC que, além disso, não se encontrava no CD lacrado com o 
software da Eleição de 2014, conclui-se que requer-se dos desenvolvedores do 
TSE/STI treinamento adequado para realizar o tipo de auditoria delineado no item 
anterior. 


Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A1:CAA1:1 

Al: Compilador Open 

Source GCC GNU 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 


Comentários Complementares: 

a) Nível de dificuldade de se introduzir diretamente uma fraude no 
compilador: 

• Baixo, pois quanto mais conhecimento sobre o sistema alvo, mais fácil de 
introduzir diretamente uma fraude! 

b) Nível de dificuldade de se introduzir uma fraude ou "porta dos fundos" 
no compilador utilizado: 

• Baixo, pois quanto mais livre o acesso ao compilador, mais fácil de introduzir uma 
fraude ou uma "porta dos fundos". Além disso, o agente de ameaça [InT: (1)] não 
necessitará de muita antecedência em relação às eleições, em comparação com 
a necessidade do agente de ameaça do risco anterior, [ExTComVinc: (2)]. 

c) Para evitar redundância no texto, assume-se como aplicáveis para este mapa de 
risco todos os comentários complementares de a) a e) do Item 9 do mapa de 
risco [A1:CAA2:2] acima, uma vez que os agentes de ameaça [InT: (1)] e 
[ExTComVinc: (2)] são assemelhados em termos de poder de ameaça. 
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Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A1:CAA3:1 

Al: Compilador Open Source GCC GNU 

ExTSemVinc: (1) hacker 

Baixo (L) 


Comentários Complementares: 

a) Nível de dificuldade de se introduzir diretamente uma fraude no 
compilador: 

• Alto, pois quanto menos conhecimento sobre o sistema alvo, mais difícil de 
introduzir diretamente uma fraude! 

b) Nível de dificuldade de se introduzir uma fraude ou "porta dos fundos" 
no compilador utilizado: 

• Alto, pois, embora o acesso ao compilador seja fácil, pois ele é software livre, intro¬ 
duzir uma fraude ou uma “porta dos fundos” não será uma tarefa fácil, uma vez que 
dependerá do acesso do agente de ameaça á(s) máquina(s) utilizadas antes da 
compilação oficial pois quanto mais livre. 

b) Estimativas iniciais: TEF = L; TCAP = L; CS = H; VULN = VL 

c) A estimativa de perda do pior caso ou WCL é M ou Moderado; mas o efeito provavel¬ 
mente seria no máximo conseguir sabotar a eleição, provavelmente sem conseguir 
modificar o resultado da eleição. 

d) Estimamos a Probabilidade de Ocorrência de Evento de Perda ou LEF = VL e o Im¬ 
pacto Provável da Perda ou PLM = L. Dessa forma, o Risco Geral , ilustrado na ta¬ 
bela a seguir, é Baixo ou L . 



VL L V H VH 

I 
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Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A2:CAA1:1 

A2: Certificados Digitais 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 


Comentários Complementares: 

a) Problemas identificados no esquema de certificados digitais usado na 
urna: 

• Não se permite qualquer verificação ou auditoria externa. 

• Falta 0 mecanismo de timestamp, para reforçar os controles de segurança dos 
certificados. Timestamp, ou marca temporal em português, é uma cadeia de 
caracteres denotando a data e hora do dia que certo evento ocorreu, às vezes 
com uma precisão de uma pequena fração de segundo. 

• O TSE é a certificadora raiz e seus certificados não são públicos, por isso os 
certificados do TSE não podem ser conferidos por terceiros, quer sejam fiscais de 
partidos ou qualquer outro fiscal externo ao TSE e seus contratados. 

• Os certificados digitais são usados de forma off-line. 

• As assinaturas digitais são utilizadas como um dos elementos mais importantes 
na segurança de todos os processos e elementos do sistema. Porém, as urnas 
não estão conectadas para se fazer uma verificação de assinatura de uma forma 
mais segura. Ou seja, as verificações são feitas na própria urna, com base 
apenas nos dados internos que, em dado momento, podem ter sido falsificados. 

b) Nível de dificuldade de se obter uma chave privada ou utilizá-la de 
maneira indevida: 

• Baixo, pois 0 sigilo das chaves privadas, em última análise, fica sob a guarda de 
pessoas, direta ou indiretamente. 
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c) Nível de dificuldade de se fraudar a cadeia de confiança da certificação 
utiiizada nas urnas: 

• Se 0 agente de ameaça [InT: (1)] for: 

1) Externo à certificadora do TSE: 

■ Moderado, pois quanto mais informação privilegiada, mas fácil será possível se 
alterar o certificado raiz utilizado nas urnas. 

2) Interno à certificadora do TSE: 

■ Baixo, pois, com informação e acesso privilegiado, pode-se facilmente gerar e 
introduzir certificados válidos, mas não oficiais, para se aceitar uma possível 
fraude ou utilização de algum código malicioso. 

3) De qualquer forma, o fato de o agente de ameaça [InT: (1)] ser interno ou externo 
à certificadora do TSE não altera o Risco Geral apurado. 

d) Possibilidade de detecção de uso indevido de uma chave privada: 

• Muito baixa, uma vez que obtida uma chave privada, não se tem como saber, 
apenas pela assinatura, quem a fez. Qualquer detecção é muito difícil e, se 
houver, será apenas de forma indireta. Tudo isso é muito agravado pela falta de 
timestamping na geração das assinaturas, cujo uso poderia fornecer um indício 
para se começar a trabalhar a questão. 

e) Possibilidade de detecção de uma cadeia de confiança alterada: 

• Muito baixa, pois, se o certificado raiz foi alterado, a própria urna não será capaz 
de detectar tal ação. Além disso, não existe a transparência necessária para 
fiscais externos poderem fazer verificações e auditorias independentes. 

f) Facilidade de distribuição: 

• Muito alta, pois, uma vez gerada uma assinatura que a urna aceite como correta, 
0 código hostil será distribuído pelos mecanismos oficiais de distribuição dos 
sistemas da urna. 
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g) Potencial de danos: 

• Muito alto, pois será praticamente indetectável pela urna, com os mecanismos de 
segurança atuais. 

• Embora em alguns pontos se utilize do hash para se tentar detectar um código 
hostil, em vários pontos o desconhecimento da chave privada pelo agente da 
ameaça é a única real segurança existente. 

• Pode com facilidade propiciar a alteração do resultado de uma eleição. 


h) Agravante do potencial de danos: 

1) O projeto de segurança do sistema eleitoral é baseado em assinaturas digitais, 
mas 0 uso delas é praticamente só interno aos próprios sistemas, o que dificulta 
ou inviabiliza qualquer auditoria nessas assinaturas digitais. 

2) O próprio TSE não tem um mecanismo eficiente, externo à própria urna 
eletrônica, de se verificar as assinaturas digitais efetivamente utilizadas. 

3) Tanto as assinaturas digitais quanto os hashes são testados pela própria urna. 

Isto caracteriza mais um autoteste do que realmente uma verificação de 
segurança, pois não se evita que um possível código hostil simplesmente simule 
que fez as verificações necessárias. 

4) Não existe um mecanismo externo de verificação de timestamping para 
realmente identificar, de forma precisa e sem ambiguidades, em que momento 
(data e hora) uma assinatura digital foi realmente feita. 

i) Conclusão sobre o asset Certificados Digitais comprometido pelo agente 
de ameaça [InT: (1) desenvolvedores de software do STI]: 

O Risco resultante é Crítico/Catastrófico/Gravíssimo devido ao seguinte: 

• Permite o controle quase completo dos softwares que serão executados nas 
urnas. 

• Tem um potencial muito alto de causar danos graves ao funcionamento do 
software da urna. 

• Poderá ser usado em conjunto com outros ataques pelo agente de ameaça. 

• Tanto a auditoria quanto a fiscalização permitida aos partidos é insuficiente para 
se detectar uma fraude que explore certificados digitais comprometidos pelo 
agente de ameaça [InT: (1) desenvolvedores de software do STI]. 
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Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A3:CAA1:1 

A3: Sistema Operacional 

InT: (1) desenvolvedores 

de software do STI 

Crítico ou Catastrófico 


Comentários Complementares: 


a) Problemas identificados: 

• 0 sistema operacional utilizado (Linux) é Open Source, o que facilita se planejar a 
introdução e funcionalidades de um código hostil, diminuindo a necessidade de 
se fazer engenharia reversa. 

• Embora grande parte do sistema operacional seja derivada de código Open 
Source, o software da urna é um software proprietário, em que o acesso aos seus 
códigos fonte e executável é restrito. Como resultado, isso dificulta-se muito a 
fiscalização e auditoria do sistema operacional. 

• Como o número de usuários frequentes do sistema operacional é bastante 
reduzido, a testabilidade do sistema operacional como um todo fica prejudicada. 

b) Nível de dificuldade de se introduzir um código hostil no sistema 
operacional: 

• Muito baixo, pois quanto mais informação privilegiada e mais fácil acesso ao 
ambiente de desenvolvimento, mais facilidade em se introduzir um código hostil 
no sistema operacional. Inclusive, pode-se introduzir um código hostil sem a 
necessidade de se quebrar uma única verificação ou controle de segurança. 

c) Nível de dificuldade de se utilizar uma falha de segurança ou bug 
existente na versão do Linux inicialmente utilizada pelo TSE: 

• Moderado, pois é necessário se encontrar a falha a ser explorada e introduzir um 
código hostil para se explorar essa falha. 

• Atenuante : Explorar a falha existente pode ser desnecessário, já que continua 
havendo a necessidade de se introduzir um código hostil. Ou seja, o código hostil 
já poderia fraudar por si só, sem a necessidade de se explorar uma falha 
preexistente. 
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d) Nível de dificuldade de se introduzir um código hostii em um novo 
device driver para o Sistema Operacionai: 

• Muito baixo, pois quanto mais informação privilegiada e mais fácil acesso ao 
ambiente de desenvolvimento e informações sobre o novo hardware, maior a 
facilidade em introduzir um código hostil sem inviabilizar as funcionalidades 
básicas do device driver. 

e) Facilidade de distribuição: 

• Muito alto, pois pode-se simplesmente substituir a versão original do sistema 
operacional, sendo calculado o "hash" e assinado digitalmente já com o código 
hostil introduzido. 

f) Potencial de danos: 

• Introdução de código hostil no sistema operacional: 

■ Muito alto, pois, se a fraude for bem-feita, será praticamente impossível de se 
detectar com o nível de fiscalização e auditoria atual 

■ Poderá com facilidade propiciar a alteração do resultado de uma eleição. 

• Utilizar uma falha já existente: 

■ Baixo, pois não é o caminho mais fácil de se introduzir uma fraude via sistema 
operacional. 

• Fraude em um novo device driver para o sistema operacional: 

■ Muito alto, principalmente se for introduzida por quem faça parte da equipe 
responsável pela implementação do novo device driver, pois dificilmente alguém 
fora da equipe será capaz de descobrir este tipo de fraude. 

■ Poderá com facilidade propiciar a alteração do resultado de uma eleição. 

g) Agravante do potencial de danos: 

• Uma fraude instalada num sistema operacional poderá ser utilizada em mais de 
uma eleição, enquanto não se mudar a versão. 

• Esta fraude poderá facilmente ser associada a outros tipos de fraudes. 
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h) Conclusão sobre o asset Sistema Operacional comprometido pelo agente 
de ameaça [InT: (1) desenvolvedores de software do STI]: 

O Risco resultante é Crítico/Catastrófico/Gravíssimo devido ao seguinte: 

• Um código hostil introduzido no sistema operacional poderá fazer praticamente 
tudo que o agente de ameaça desejar, de forma escondida e possivelmente com 
autorremoção, interferindo em toda leitura e gravação da memória flash. 

• Tem um potencial muito alto de causar danos graves ao funcionamento do 
software da urna. 

• Poderá ser usado em conjunto com outros ataques pelo agente de ameaça. 

• Tanto a auditoria quanto a fiscalização permitida aos partidos é insuficiente para 
se detectar uma fraude que explore o sistema operacional comprometido pelo 
agente de ameaça [InT: (1) desenvolvedores de software do STI]. 


Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A4:CAA1:1 

A4: Processo de Compila¬ 
ção 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 


Comentários Complementares: 


a) Problemas identificados: 

• Os códigos fontes compilados são muito grandes para as reais funcionalidades 
necessárias. 

• São utilizados vários Scripts diferentes durante a compilação, sem uma 
justificativa convincente para tal utilização. 

• Utiliza-se um compilador já particularmente exposto (vide asset Al), 
potencialmente comprometido! 

• O tempo de compilação é relativamente grande (entre dezenas de horas a dias) 
sem uma explicação plausível. 

b) Nível de dificuldade de se alterar algum software ou introduzir um 
código hostii durante a compiiação: 
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• Muito baixo, pois, quanto maior o conhecimento dos diferentes Scripts de 
compilação e maior o conhecimento do processo de compilação como um todo, 
mais fácil de se fazer uma adulteração ao software da urna. 

• Uma dificuldade é a necessidade de se ter o acesso antecipado ao ambiente de 
compilação. 

c) Facilidade de distribuição: 

• Muito alta, pois, uma vez introduzida a fraude durante a compilação, o produto 
compilado será a versão oficial do software da urna do TSE. 

d) Potencial de danos: 

• Muito alto, pois irá para todas as urnas e computadores utilizados no processo 
das eleições. 

• Poderá com facilidade propiciar a alteração do resultado de uma eleição. 

e) Agravante do potencial de danos: 

i. A compilação é um momento muito difícil de ser auditado. Seria necessário que 
os fiscais pudessem repetir a compilação em outros ambientes e chegassem em 
produtos compilados idênticos. 

li. A compilação teria que ser configurada de tal forma a ser determinística, de 
modo que, sempre que se repetisse a mesma compilação, o resultado compilado 
deveria ser o mesmo. 

f) Conclusão sobre o asset Processo de Compilação comprometido pelo 
agente de ameaça [InT: (1) desenvolvedores de software do STI]: 

O Risco resultante é Crítico/Catastrófico/Gravíssimo devido ao seguinte: 

• Tem um potencial muito alto de causar danos graves ao funcionamento do 
software da urna. 

• Em comparação com outros possíveis ataques, sua implementação faz uso de 
tecnologia de baixo nível. O mais importante ao agente de ameaça é ter acesso 
ao ambiente de compilação. 

• Poderá ser usado em conjunto com outros ataques pelo agente de ameaça. 

• Tanto a auditoria quanto a fiscalização permitida pelo TSE é insuficiente para se 
detectar uma fraude que explore o processo de compilação comprometido pelo 
agente de ameaça [InT: (1) desenvolvedores de software do STI]. 
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Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A5:CAA2:6 

A5: BIOS 

ExTComVinc: (6) ex-funcionário de¬ 
senvolvedor de software do TSE/STI 

em conluio com funcionário de fabri¬ 
cante que desenvolve o BIOS 

Crítico ou Catastrófico 


Comentários Complementares: 


a) Problemas identificados: 

• Poderá ser usado em conjunto com outros ataques pelo agente de ameaça 
[CAA2:6]. 

• Existem diferentes versões de BIOS para diferentes modelos de urnas. 

• Existem extensões de BIOS introduzidas pelo TSE e contratados. 

• No contexto da Auditoria Especial do PSDB, não se permitiu fiscalização e/ou 
auditoria nas versões de BIOS utilizadas no software da urna. 

• O BIOS é 0 primeiro código executável a ser executado na urna. 

• O BIOS pode ser acessado diversas vezes durante o funcionamento da urna. 

• A arquitetura de hardware utilizada na urna eletrônica é basicamente a 
arquitetura PC, com poucas alterações. 

b) Nível de dificuldade de se introduzir um código hostil no BIOS: 

• Muito baixo, pois, uma vez que o agente de ameaça tenha acesso ao código 
fonte do BIOS, será fácil introduzir o código hostil ou um backdoor para ser 
explorado por outra fraude associada. 

c) Facilidade de distribuição: 

• Muito alto, pois quem tem acesso para fazer a alteração antes do BIOS ser 
inseminado nas urnas terá a fraude distribuída pelos mecanismos do fabricante. 
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d) Potencial de danos: 


• Muito alto, pois a fraude será incorporada ao hardware de cada urna do TSE. 

• Poderá com facilidade propiciar a alteração do resultado de uma eleição. 


e) Agravante do potencial de danos: 

i) A fraude existirá durante toda a vida útil da urna ou até uma BIOS nova e 
eventualmente não comprometida ser instalada. 

ii) Uma "porta dos fundos" {backdoor) bem elaborada não depende de uma eleição 
específica e, por isso, é mais eficiente em fraudar inúmeras eleições. 

iii) Uma associação da "porta dos fundos" (backdoor) e de uma fraude direta 
instalada poderá potencializares danos. 

f) Conclusão sobre o asset BIOS comprometido pelo agente de ameaça 
[ExTComVinc: (6) ex-funcionário desenvolvedor de software do TSE/STI 
em conluio com funcionário de fabricante que desenvolve o BIOS]: 

O Risco resultante é Crítico/Catastrófico/Gravíssimo devido ao seguinte: 

• O asset BIOS comprometido pelo agente de ameaça tem um potencial muito alto 
para causar danos. 

• O comprometimento do asset BIOS será quase impossível de ser detectado com 
0 nível de fiscalização e auditoria permitido pelo TSE. 

• Poderá ser usado em conjunto com outros ataques pelo agente de ameaça. 
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Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A6:CAA3:3 

A6: Visual da Urna e da 

Interface do Usuário 

ExTSemVinc: (3) hackers asso¬ 
ciados a mesários e presidente 

de mesa de seção eleitoral 

Baixo a Médio 


Comentários Complementares: 


a) Problemas identificados: 

• 0 visual da urna e da interface do usuário é um asset suscetível de clonagem 
pelo agente de ameaça [CAA3:3]. 

• Não existe um procedimento de verificação de clonagem da urna definido e 
autorizado pelo TSE. 

• Foi possível simular o não rompimento do lacre de algumas das urnas auditadas. 

• Não há um procedimento de controle de acesso à urna pelos mesários e 
presidente de seção eleitoral. 

b) Nível de dificuldade de fazer uma urna com a mesma aparência da urna 
oficial: 

• Muito baixo, pois não é um problema técnico e sim mecânico e estético. Além 
disso, o software da urna falsa é simples de implementar. 

c) Facilidade de distribuição: 

• Muito baixa, pois a substituição será urna a urna. 

• Além disso, deve-se fazer uma votação simulada na urna real, fazendo uso dos 
mesmos resultados já programados na urna falsa, para se obter documentos 
assinados que sejam válidos. 
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d) Potencial de danos: 


• Baixo, pela dificuldade de logística e distribuição. 


e) Agravante do potencial de danos: 

i) Em eleições municipais, poucas urnas são suficientes para uma fraude mudar o 
resultado das eleições. 

f) Conclusão sobre o asset "Visual da urna e da interface do usuário" 
comprometido pelo agente de ameaça [ExTSemVinc: (3) hackers 
associados a mesários e presidente de mesa]: 

0 Risco resultante é Baixo a Médio devido ao seguinte: 

• Para eleições estaduais e nacionais: 

■ Baixo, pois dificilmente poderá mudar o resultado de uma eleição. 

• Para eleições municipais 

■ Médio, pois, embora seja difícil distribuir e implementar, para eleição em 
pequenas cidades pode ser suficiente, uma vez que poucas urnas clonadas 
poderão mudar o resultado da eleição. 

• Reconhece-se que este risco específico precisa ter seus elementos melhor 
avaliados. Contudo, a sua presença nesta lista de riscos é ilustrativa dos riscos 
que a urna como um todo é portadora. 
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Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A7:CAA1:1 

A7: Rotinas de Segurança 

do CEPESC 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 


Comentários Complementares: 


a) Problemas Identificados: 

• Foi constatado pela equipe técnica de auditoria que os códigos desenvolvidos 
pelo CEPESC não foram lacrados após o processo de compilação para as eleições 
de 2014. 

• O CEPESC tem alguma participação —que não foi bem explicada aos auditores— 
na Certificadora do TSE. 

• O CEPESC troca a criptografia do BU a cada ciclo eleitoral, quando o normal seria 
manter os códigos fontes praticamente inalterados e apenas trocar as chaves 
criptográficas de uma eleição passada por outras (eventualmente mais fortes) 
para a próxima eleição. 

• A criptografia do BU é desnecessária, pois o dado já é público. Basta assinar 
digitalmente o BU. 

b) Nível de dificuldade de se introduzir um código hostil nas rotinas do 
CEPESC: 

• Muito baixo, pois é a mesma dificuldade de se alterar qualquer código fonte que 
já faça parte do sistema da urna. 

c) Facilidade de distribuição: 

• Muito alto, pois as alterações podem ser feitas diretamente no código fonte das 
rotinas do CEPESC entregue ao TSE. 
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d) Potencial de danos: 


• Muito alto, pois as rotinas do CEPESC são chamadas com frequência durante a 
votação e, ao seu final, na geração do BU. Pode-se alterar os resultados ali 
gravados com facilidade. 

• Poderá com facilidade propiciar a alteração do resultado de uma eleição. 


e) Conclusão sobre o asset "Rotinas de Segurança do CEPESC" 

comprometido pelo agente de ameaça [InT: (1) desenvolvedores de 
software do STI]: 

O Risco resultante é Crítico ou Catastrófico devido ao seguinte: 

• Será muito fácil criar e distribuir o asset comprometido. 

• O comprometimento do asset será quase imperceptível nas auditorias de código 
fonte autorizadas pelo TSE. 

• Poderá ser usado em conjunto com outros ataques pelo agente de ameaça. 

• Tanto a auditoria quanto a fiscalização permitida aos partidos pelo TSE é 
insuficiente para se detectar uma fraude que explore o asset comprometido pelo 
agente de ameaça [InT: (1) desenvolvedores de software do STI]. 
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Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A8:CAA1:1 

A8: Software da Urna 

para Votação Paralela 

InT: (1) desenvolvedores de 

software do STI 

Médio a Crítico ou Ca¬ 
tastrófico 


Comentários Complementares: 


a) Problemas identificados: 

• 0 Software da Urna para Votação Paralela cria a falsa sensação que o sistema 
está sendo realmente testado. 

• Pela auditoria nos TREs, constatou-se que algumas votações paralelas não 
seguiram os ritos previstos, oferecendo oportunidades para o Software da Urna 
para Votação Paralela perceber que estava ocorrendo uma votação paralela, não 
uma votação real. 

• Como o asset foi implementado pelo TSE e não foram contados manualmente os 
votos introduzidos na urna de teste, a votação paralela é simplesmente um teste 
de sincronismo entre 2 programas: o que roda na urna e o que roda no 
computador de apuração paralela. 

b) Nível de dificuldade de se enganar o teste de Votação Paralela: 

• Urnas com biometria: 

■ Muito baixo, pois é facilmente detectável que a biometria está sendo ignorada, 
ou seja, que a urna está sob teste. 

• Urnas sem biometria: 

■ Moderado, pois existem vários possíveis critérios para se detectar que está 
ocorrendo uma Votação Paralela, mas nenhum é 100% confiável. 

■ Por isto, para que o código malicioso diminua o risco de acabar falhando no teste, 
é prudente se fraudar o software que executa no computador de apuração, 
mantendo sincronizadas as fraudes. 

■ Podem-se criar também gatilhos manuais para avisar que determinada urna está 
sendo submetida à Votação Paralela. 
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c) Potencial de danos: 


• Urnas com biometria: 

■ Muito alto, pois será fácil para o código hostil descobrir que está sendo 
submetido à Votação Paralela. 

• Urnas sem biometria: 

■ Médio, pois é possível enganar o teste, mas a fraude se torna mais complexa. 


d) Conclusão sobre o asset "Software da Urna para Votação Paralela" 
comprometido pelo agente de ameaça [InT: (1) desenvolvedores de 
software do STI]: 

O Risco resultante é Médio a Crítico ou Catastrófico devido ao seguinte: 

• Urnas com biometria: 

■ Catastrófico, pois o teste é praticamente inútil para as urnas com biometria. 

• Urnas sem biometria: 

■ Médio, pois esse é um teste que ajuda a diminuir a gravidade de todas as outras 
possíveis fraudes, uma vez que praticamente obriga o código hostil a fazer duas 
ações básicas: fraudar as eleições e enganar a Votação Paralela. 

■ Existem formas de se detectar e se evitar a Votação Paralela, mas isso exige que 
a fraude seja mais elaborada em relação ao caso das urnas com biometria. 
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Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A9:CAA1:1 

A9: Hardware de segu¬ 
rança (MSD) 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 


Comentários Complementares: 


a) Problemas Identificados: 

• 0 asset corresponde a uma caixa preta agregada à arquitetura de hardware das 
urnas a partir do modelo de 2009. 

• Até 0 momento, o asset é uma caixa preta não auditável. 

b) Nível de dificuldade de fraudar o MSD: 

• Baixo, pois quem tem acesso à inicialização do software desse componente, ou a 
atualizações, poderá introduzir uma "porta dos fundos" (backdoor) ou até mesmo 
uma fraude completa. 

• Se bem feita, será indetectável inclusive por outras pessoas internas ao 
processo. 

c) Nível de dificuldade de se enganar o MSD: 

• Baixo, pois, conhecendo-se corretamente a ação do hard lock (que impede a 
execução do processador principal), pode-se simular corretamente o que o 
componente espera, mesmo tendo um código hostil sendo executado. 

d) Facilidade de distribuição: 

• Muito alta, pois a fraude no componente será executada antes de um processo 
automático de inicialização ou atualização. 
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e) Potencial de danos: 


• Muito alto, pois o MSD controla o processo de inicialização das urnas, podendo 
permitir a entrada de código hostil. 

• Poderá com facilidade propiciar a alteração do resultado de uma eleição. 


f) Agravante do potencial de danos: 

i) O componente MSD e o software que é executado nele não podem ser auditados 
e verificados, pois todo o contato com os dados internos é mediado pelo próprio 
software do componente. 

ii) Uma vez introduzido um código hostil, não existe uma maneira fácil de se 
verificar ou reiniciar o asset. 

iii) Quanto mais eficiente o MSD for em evitar ataques de terceiros, mais eficiente 
ele será para evitar uma verificação e auditoria. 


g) Conclusão sobre o asset "Hardware de segurança (MSD)" comprometido 
pelo agente de ameaça [InT: (1) desenvolvedores de software do STI]: 

O Risco resultante é Crítico ou Catastrófico devido ao seguinte: 

• O asset foi um componente introduzido para se aumentar a segurança contra 
ataques de agentes de ameaça externos, mas que, como consequência, diminuiu 
drasticamente a possibilidade de se detectar ataques perpetrados por agentes 
de ameaça internos. 

• Pode-se fazer uma fraude quase perfeita por meio desse asset comprometido. 

• Toda a segurança contra ataques externos baseia-se na certificação dos 
componentes de software; havendo uma quebra de segurança grave na 
certificação, esse componente poderá ser enganado facilmente. 
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Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A10:CAA1:1 

AIO: Segurança dos 

Aplicativos 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 


Comentários Complementares: 


a) Problemas Identificados: 

• Não existem boas proteções ou salvaguardas de segurança contra engenharia 
reversa. 

• A segurança do sistema não foi projetada de forma monolítica (e.g. como uma 
biblioteca única que concentra as funcionalidades de segurança), o que facilita 
possíveis ataques. 

• A segurança do sistema é composta de vários componentes que foram 
acrescentados de forma não necessariamente bem conectada. 

b) Nível de dificuldade de se introduzir um código hostil nos aplicativos: 

• Baixo, pois pode-se introduzir a fraude até no código-fonte, de forma quase 
imperceptível. 

c) Facilidade de distribuição: 

• Muito alta, pois, se estiver no próprio código-fonte, será distribuído oficialmente 
pelo TSE. 

d) Potencial de danos: 

• Muito alto, pois, se a fraude for bem feita, será quase imperceptível, uma vez que 
0 código hostil será executado com parte da aplicação. 

• Poderá com facilidade propiciar a alteração do resultado de uma eleição. 
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e) Conclusão sobre o asset "Segurança dos Aplicativos" comprometido 
pelo agente de ameaça [InT: (1) desenvolvedores de software do STI]: 

0 Risco resultante é Crítico ou Catastrófico devido ao seguinte: 

• Será muito fácil criar e distribuir o asset comprometido. 

• O asset Segurança dos Aplicativos comprometido pelo agente de ameaça tem 
um potencial muito alto para causar danos. 

• Poderá ser usado em conjunto com outros ataques pelo agente de ameaça. 

• Tanto a auditoria quanto a fiscalização permitida aos partidos pelo TSE são 
insuficientes para se detectar uma fraude que explore o asset comprometido pelo 
agente de ameaça [InT: (1) desenvolvedores de software do STI]. 
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Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A11:CAA3:6 

All: Votar Como um Elei¬ 
tor Que Ainda Não Votou 

ExTSemVinc: (6) mesários 

de seção eleitoral 

Baixo 


Comentários Complementares: 


a) Problemas Identificados: 

• Em muitas seções eleitorais, em especial de grotões em regiões longínquas e de 
difícil acesso no Brasil, os fiscais de partido nem aparecem —ou são impedidos 
de aparecer nas seções por opositores— para cumprir o seu papel de fiscalização 
do andamento dos trabalhos de votação dentro e fora das seções eleitorais. 

• O TSE não desenvolve qualquer cruzamento de dados de votantes e justificativas 
para orientar medidas preventivas futuras. 

• Em casos de duplicidade comprovada, a autoridade eleitoral é obrigada a 
desprezar a justificativa (dado com maior probabilidade de estar correto) e 
considerar válido o voto realizado (dado mais provavelmente falso), por causa do 
sigilo do voto e do anonimato do eleitor ao votar. 

• O TSE não toma medidas para coibir ou diminuir a ocorrência desse problema no 
futuro, por exemplo analisando os logs da seção da ocorrência para verificar se o 
mesário é reincidente e afastá-lo de eleições futuras, se necessário! 

• Como consequência, não existe publicidade sobre punições para mesários 
fraudadores. 

b) Nível de dificuldade para um mesário votar como um eieitor que ainda 
não votou: 

• Baixo, pois ele tem uma lista com o número do título de eleitor de quem ainda 
não votou. 

• A verificação biométrica não é mandatória. 

• Como discutido acima, não existe uma ação do TSE visando a coibir este tipo de 
fraude. 
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c) Facilidade de distribuição: 

• Baixa, pois será feita urna a urna. 

• Dependerá de ter mesários desonestos em conluio com fiscais de partidos ou 
ausência de fiscais de partidos nas seções eleitorais. 

d) Potencial de danos: 

• Eleições estaduais e nacionais: 

a) Baixo, pois, mesmo que este tipo de fraude seja largamente utilizada, existe uma 
tendência a distribuir a fraude entre vários candidatos. 

• Eleições em cidades pequenas: 

b) Médio, pois, por existir um número relativamente pequeno de urnas em jogo, tem 
maior potencial em influenciar o resultado. 

e) Conclusão sobre o asset "Votar Como um Eleitor Que Ainda Não Votou" 
comprometido pelo agente de ameaça [ExTSemVinc: (6) mesários de 
seção eleitoral]: 

O Risco resultante é Baixo devido ao seguinte: 

• O asset tem potencial baixo de causar danos, mesmo quando acontecer de 
eventualmente reverter o resultado de uma eleição em cidade pequena, embora 
nunca se poderá ter certeza disso. 

• O impacto do asset poderia ser minimizado se com a mitigação da impunidade 
neste tipo de fraude. 

• Este tipo de fraude foi utilizado para justificar as urnas biométricas, que até 
agora não resolveram o problema. 
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5.4. Mapas de Riscos: Quadros Resumidos 


Risco Geral = Crítico ou Catastrófico 


Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A1:CAA2:2 

Al: Compilador Open 

Source GCC GNU 

ExTComVinc: (2) hacker em 

conluio com funcionário de¬ 
senvolvedor de software ou 

gerente do TSE/STI 

Crítico ou Catastrófico 

A1:CAA1:1 

Al: Compilador Open 

Source GCC GNU 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 

A2:CAA1:1 

A2: Certificados Digitais 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 

A3:CAA1:1 

A3: Sistema Operacional 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 

A4:CAA1:1 

A4: Processo de Compi¬ 
lação 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 

A5:CAA2:6 

A5: BIOS 

ExTComVinc: (6) ex-funcio- 

nário desenvolvedor de 

software do TSE/STI em 

conluio com funcionário de 

fabricante que desenvolve o 

BIOS 

Crítico ou Catastrófico 

A7:CAA1:1 

A7: Rotinas de Seguran¬ 
ça do CEPESC 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 

A9:CAA1:1 

A9: Hardware de segu¬ 
rança (MSD) 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 

A10:CAA1:1 

AIO: Segurança dos 

Aplicativos 

InT: (1) desenvolvedores de 

software do STI 

Crítico ou Catastrófico 
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Risco Geral = Médio a Crítico ou Catastrófico 


Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A8:CAA1:1 

A8: Software da Urna 

para Votação Paralela 

InT: (1) desenvolvedores de 

software do STI 

Médio a 


Risco Geral = Baixo a Médio 


Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A6:CAA3:3 

A6: Visual da Urna e da 

Interface do Usuário 

ExTSemVinc: (3) hackers 

associados a mesários e 

presidente de mesa de se¬ 
ção eleitoral 

Baixo a Médio 


Risco Geral = Baixo 


Tag 

Asset 

Comunidade de Ameaça 

Risco Geral 

A1:CAA3:1 

Al: Compilador Open 

Source GCC GNU 

ExTSemVinc: (1) hacker 

Baixo (L) 

A11:CAA3:6 

All: Votar Como um Elei¬ 
tor Que Ainda Não Votou 

ExTSemVinc: (6) mesários 

de seção eleitoral 

Baixo (L) 
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5.5. Termos Básicos do Método FAIR 


Ameaça 

Ameaça é qualquer coisa (por exemplo, objeto, substância, humano etc.) que é 
capaz de agir contra um asset (ativo) de uma forma que pode resultar em danos. Um 
tornado é uma ameaça, como é uma inundação, como é um hacker. A questão funda¬ 
mental é que as ameaças aplicam a força (água, vento, código de exploração etc.) 
contra um asset que pode causar um evento de perda de ocorrer. 


Vulnerabilidade 

Vulnerabilidade é comumente reconhecida como uma "fraqueza que pode ser 
explorada", mas vamos deixá-la neste contexto como uma condição em que a capaci¬ 
dade de ameaça (força) é maior do que a capacidade de resistir a essa força da parte 
do asset. 


Asset (ativo) 

No contexto de risco da informação, podemos definir Asset como qualquer 
dado, dispositivo ou outro componente do ambiente que apóia as atividades relaciona¬ 
das com um sistema de informação, que pode ser ilicitamente acessado, usado, divul¬ 
gado, alterado, destruído ou roubado, resultando em perda de algum tipo para a insti¬ 
tuição detentora do Asset. 


Risco de Segurança 

Risco de segurança é a probabilidade de ocorrência de algo ruim em uma insti¬ 
tuição, combinado com a magnitude ou impacto provável da perda futura resultante 
dessa ocorrência! Em outras palavras, risco é uma medida do grau em que uma insti¬ 
tuição está ameaçada por uma circunstância ou evento potencial, tipicamente em fun¬ 
ção do seguinte: (i) a probabilidade de ocorrência da circunstância ou evento; (ii) os 
impactos negativos prováveis que surgiriam se ocorresse a circunstância ou evento. 
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Agentes de Ameaça 

Agentes de ameaça são indivíduos dentro de uma população de entes, vivos ou 
inanimados, de ameaça. Praticamente qualquer pessoa e qualquer coisa pode, sob 
certas circunstâncias, ser um agente de ameaça. Por exemplo: o operador de compu¬ 
tador bem-intencionado, mas inepto, que desperdiça um trabalho diário inteiro, ao di¬ 
gitar 0 comando errado; o regulador pelo simples fato de realizar uma auditoria; ou o 
esquilo que mastiga um cabo de dados. 


Comunidades de Ameaça 

Comunidades de ameaça são subgrupos da população total de agentes de ame¬ 
aça que partilham características-chave. As seguintes comunidades de ameaça são 
exemplos do cenário de ameaças humanas maliciosas que muitas organizações en¬ 
frentam: 

4- Comunidade Interna 

• Empregados 

Quem tem privilégios de acesso elevados e uma maior especiali¬ 
zação técnica (por exemplo, administradores de sistemas e redes) 
Quem não tem privilégios elevados ou altos níveis de especializa¬ 
ção (por exemplo, a população de empregados em geral) 

• Empresas contratadas e fornecedores 

• Parceiros 

4- Comunidade Externa 

• Ex-funcionários 

• Cibercriminosos (hackers profissionais) 

• Espiões 

• Hackers não profissionais 

• Ativistas de alguma causa 

• Serviços de inteligência da própria nação ou de outras nações 

• Autores de malware (código hostil, tais como vírus, worm, cavalos de 
tróia, backdoor etc.) 


Características de Ameaças 

Podemos identificar uma grande variedade de características de agentes de 
ameaça com o objetivo de representar as comunidades de ameaça. Na maioria das 
circunstâncias, existem relativamente poucas características realmente importantes. 
Incluir muitas características em nossa análise torna o modelo muito mais difícil de 
usar, com relativamente pouca melhora nos resultados. Este é um exemplo de onde a 
modelagem de risco tipicamente vai substituir precisão por maior praticidade. Há qua- 
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tro componentes fundamentais da taxonomia de risco da abordagem FAIR para os 
quais queremos identificar as características do agente ameaça; a saber, aquelas ca¬ 
racterísticas que afetam o seguinte: 

A frequência com que agentes de ameaça entram em contato com as nossas 
organizações ou assets 

A probabilidade de que agentes de ameaça agirão contra nossas organizações 
ou assets 

A probabilidade de ações de agentes de ameaça serem bem sucedidos em su¬ 
perar os controles de proteção 

A natureza provável quanto ao tipo e gravidade do impacto em nossos assets 


Características de Assets 

Assets têm características relacionadas com valor, responsabilidade e força de 
controles de segurança que representam fatores de risco, tais como: 

Criticidade - Aquela característica de um asset que tem a ver com o impacto na 
produtividade de uma organização. Por exemplo, o impacto que um banco de 
dados corrompido teria sobre a capacidade da organização para gerar receita 
Custo - Os custos associados em substituir um asset que tenha sido roubado 
ou destruído. Exemplos incluem o custo de substituir um notebook roubado ou 
reconstruir um edifício bombardeado 

Sensibilidade - O impacto resultante de informações confidenciais sendo divul¬ 
gadas ou utilizadas indevidamente 


A Organização 

Existe risco no contexto de uma organização ou entidade. Em outras palavras, 
danos a assets afeta uma ou mais das proposições de valor da organização. É a orga¬ 
nização que perde recursos ou a capacidade de operar. Características da organização 
também pode servir para chamar a atenção de certas comunidades de ameaças, que 
podem aumentar a probabilidade de ocorrência de eventos. 


O Ambiente Externo 

O ambiente em que uma organização funciona desempenha um papel significati¬ 
vo quanto ao risco em que ela está exposta. Várias características externas, como a 
paisagem regulatória, a concorrência dentro da atividade industrial da organização 
etc., todas ajudam a impulsionar a probabilidade de perda. Por exemplo no caso da 
urna brasileira, considere a participação do CEPESC, Módulo, Diebold e manufaturado- 
ra do chip de segurança MSD. 
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6. CONCLUSÕES 


6.1 Síntese 

0 resumo das conclusões da presente auditoria especial sobre o 2^ turno da elei¬ 
ção presidencial de 2014 é o seguinte: 

a) Sobre a coleta de dados - A coleta de dados para auditoria teve sua confiabili¬ 
dade prejudicada porque enfrentou restrições administrativas, tendo sido nega¬ 
da a entrega de parte dos dados solicitados e, em especial, foi negada permis¬ 
são para coletar os dados diretamente das mídias de memória das urnas ele¬ 
trônicas; 

b) Sobre a apuração dos votos nas urnas eletrônicas - Não foi possível se de¬ 
terminar a confiabilidade dos resultados produzidos pelas urnas eletrônicas , 
porque: 

i. Não é possível se fazer uma auditoria contábil da apuração dos votos 

em um sistema de urnas eletrônicas que é essencialmente dependente 
de software e não produz um registro material do voto (o voto impresso) 
que tenha sido visto e conferido pelo eleitor e que possa ser utilizado 
como trilha de auditoria; 

li. Não foi possível se fazer uma validação e certificação minimamente con¬ 

fiável do software embarcado nas urnas eletrônicas para verificar sua in¬ 
tegridade devido a restrições impostas pela autoridade eleitoral. 

iii. Mesmo sem tais restrições, a validação e certificação do software das 
urnas é uma tarefa que, pra ser bem executada, demanda tempo e re¬ 
cursos muito elevados, inviabilizando, na prática, esse tipo de procedi¬ 
mento como garantidor da confiabilidade do sistema; 

iv. o Teste de Votação Paralela, como executado, não é eficiente para de¬ 

tecção de software adulterado nas urnas que verifique as condições de 
uso fora do comum. 

c) Sobre a transmissão e a totalização dos votos - Não foram encontrados in¬ 
dícios de fraudes ou de erros sistemáticos que pudessem alterar os resultados 
depois que estes saem das urnas eletrônicas; 


p. 205 de 217 











d) Sobre a auditabilidade em geral - 


i. o sistema eletrônico de votação do TSE não está projetado e implemen¬ 

tado para permitir uma auditoria externa independente e efetiva dos re¬ 
sultados que publica ; 

ii. O modelo de auditoria imposto pela autoridade eleitoral ("auditoria co¬ 

mandada pelo auditados") não se enquadra em qualquer modelo reco¬ 
nhecido e padronizado por entidades internacionais que normatizam au¬ 
ditoria de sistemas de informação; 

iii. As urnas biométricas são incompatíveis com o Teste de Votação Parale - 

la, e tornam inócua a lei que o criou. 

A seguir apresentam-se as conclusões mais detalhadas sobre a confiabilidade do 
resultado eleitoral do 2^ turno de 2014, relativas às quatro etapas previstas no PDI. Ao 
final são apresentadas outras conclusões gerais, sobre a transparência e a auditabili¬ 
dade do processo eleitoral eletrônico do TSE, decorrentes de todas as atividades de¬ 
senvolvidas durante a auditoria especial no sistema eleitoral de 2104. 


6.2 Coleta de Dados 

A coleta de dados digitais e físicos (em papel) enfrentou dificuldades e impedi¬ 
mentos desde o seu início. 

Algumas dificuldades foram contornadas, provocando apenas atraso no anda¬ 
mento dos trabalhos, como foi o caso do fornecimento dos dados digitais de controle 
das urnas eletrônicas (BU, LOG e RDV), que deveriam ser entregues em apenas 3 dias, 
só foram entregues incompletos depois de 2 meses, levando mais um mês para ser 
entregue o restante. 

Outros impedimentos não se conseguiu contornar, como a recusa de entrega dos 
dados de controle do sistema de Geração de Mídias e a inexistência dos dados claros 
relativos à sequência de totalização, o que criou lacunas na abrangência da auditoria 
permitida, inclusive sobre pontos críticos do processo. 

Porém, ocorreu um caso grave de restrição imposta pela autoridade eleitoral que 
comprometeu fortemente a qualidade da auditoria: o impedimento de se obter os da¬ 
dos digitais pela leitura direta das mídias de memória das urnas . 
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Especificamente, a autoridade eleitoral só permitiu o acesso indireto ao conteúdo 
das mídias das urnas eletrônicas, pelo uso de programas previamente carregados nas 
próprias mídias que se quer avaliar. 

Sob tal regramento, é impossível para os auditores ter certeza sob a integridade 
dos dados obtidos das urnas, o que criou uma grave lacuna na auditoria , afastando-a 
em termos de qualidade e de confiabilidade de uma auditoria forense. 


6.3 Auditoria da Apuração 

A auditoria da apuração por validação do software eleitoral teve seu resultado to¬ 
talmente prejudicado pelas restrições impostas ao trabalho dos auditores. Dez das 
doze tarefas previstas no PTI não puderam ser concluídas a contento e as duas restan¬ 
tes (avaliação dos lacres e da Votação Paralela) revelou impropriedades. 

Restou incompleta a verificação da coerência dos totais dos votos gravados nos 
arquivos de controle das urnas por não ter sido permitido comparar os dados de todos 
os arquivos disponíveis, mas apenas dos arquivos escolhidos pelos auditados (especifi¬ 
camente, não foi permitida a conferência da quantidade de eleitores faltosos) 

Com a recusa de informar quais são os requisitos de segurança e a relação das 
normas técnicas adotadas no projeto do sistema, não foi possível afastar as hipóteses 
de que a autoridade eleitoral não segue qualquer especificação formal de segurança e 
de que o sistema eleitoral eletrônico brasileiro não está em conformidade com qual¬ 
quer norma técnica reconhecida de projeto e de segurança. 

A negativa de apresentar os códigos-fonte do BIOS e do circuito MSD impediu a 
análise completa dos programas das urnas, tornando-se impossível fazer qualquer afir¬ 
mação sobre seu funcionamento correto e idôneo. 

Não foi permitido se determinar se o código-fonte apresentado pela ABIN era o 
mesmo que, compilado, foi incluído no software usado nas urnas eletrônicas. 

Não foi permitido acesso aos programas compiladores para verificar sua integri¬ 
dade e não foi permitido desenvolver qualquer procedimento para conferência real e 
confiável da integridade do software executável carregado nas urnas. 

Pelas restrições impostas pela autoridade eleitoral, é impossível a validação e 
certificação, pela equipe de auditores, do software eleitoral usado nas urnas eletrôni- 
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cas e, por seu porte, é inviável a validação do software eleitoral do TSE sob condições 
razoáveis de recursos e custos. 

Os lacres colocados nas urnas são só parcialmente eficientes para revelar even¬ 
tuais ataques ao software. Embora tenha se encontrado inúmeros casos de lacres com 
irregularidades, não se encontrou qualquer caso que tivesse disparado alguma ativida¬ 
de de segurança para sua avaliação e correção. 

O Teste de Votação Paralela não conseguiu reproduzir as necessárias "condições 
normais de votação", tornando-se ineficaz na detecção de software adulterado que ex¬ 
plore essa condição. 

Em especial, as urnas biométricas são incompatíveis com o § 6^ do Art. 66 da Lei 
9.504, que institui o Teste de Votação Paralela, tornando-o inócuo. 

Nesses termos: 

a) pela inexistência do VVPAT - trilha material, em papel, para auditoria; 

b) com as restrições e limitações encontradas para validação e certificação segura 

do software das urnas eletrônicas; 

c) com a ineficácia da Votação Paralela; 

considera-se impossível determinar, com algum nível de confiabilidade, se foram 

justos 0 registro e a apuração dos votos no 2^ turno da eleição de 2014 . 


6.4 Auditoria da Transmissão e Totalização 

A análise estatística da transmissão e da totalização dos resultados no 2^ turno 
de 2014, não encontrou sinais de erros ou eventuais fraudes sistemáticas que pudes¬ 
sem inverter o resultado. 

Contudo, não foi possível reconstruir o gráfico da evolução da totalização, devido 
à inexistência de dados de controle que permitissem a sua reprodução. 
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6.5 Denúncias Específicas 


A Geração de Mídias para carga do software nas urnas eletrônicas ocorre em 
computadores conectados à Internet. 

Pelos termos dos contratos com o TSE e com os TRE's, funcionários da empresa 
Smartmatic teriam tido acesso em momentos críticos de carga do software e da 
transmissão dos resultados. Considere-se, no entanto, que a carga do software das ur¬ 
nas não pôde ser certificada com confiabilidade, enquanto a transmissão dos resulta¬ 
dos pôde ser auditada e não mostrou sinais de erro. 

Fraudes na Votação são possíveis mas costumam ser localizadas e sem potencial 
de alterar significativamente uma eleição presidencial. 

No entanto, constatou-se que a autoridade eleitoral não faz qualquer análise dos 
dados gerados durante a eleição para detectar eventuais irregularidades, como a in¬ 
serção de votos pelos mesários e a duplicidade de votação e justificativa, com finalida¬ 
de preventiva. 

As demais denúncias de fraudes foram consideradas falsas ou apenas falhas lo¬ 
calizadas (sem potencial de afetar o resultado). 


6.6 Constatações Gerais sobre o Sistema 

Claramente, o sistema eletrônico de votação do TSE não foi projetado para per¬ 
mitir uma auditoria externa independente e efetiva dos resultados que publica . 

O modelo de auditoria imposto pela autoridade eleitoral ("auditoria comandada 

pelo auditados") não se enquadra em qualquer modelo reconhecido e padronizado por 

entidades internacionais que normatizam auditoria de sistemas de informação. 

O sistema de votação do TSE também não está preparado para uma auditoria in¬ 
terna, que deveria ser realizada antes, durante e após as eleições. Não está preparado 
para obter, por exemplo, certificação do software de votação, em especial da urna ele¬ 

trônica. de acordo com padrões internacionais de segurança . 

Muitos procedimentos críticos efetuados sob controle dos administradores (como 
0 registro e a apuração dos votos, a compilação dos códigos-fonte e a sequência de to- 
talização) não podem ser repetidos ou, ao menos, conferidos. 
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A documentação do projeto continua incompleta e a metodologia usada ainda re¬ 
velam a mesma imaturidade no desenvolvimento que já havia sido apontada no Rela¬ 
tório COPPE/UFRJ ^52 dg 2002. 

Contrariando o disposto nos §§ e 2^ do Art. 66 da Lei 9.504, parte dos progra¬ 
mas fontes e executáveis usados nas urnas eletrônicas não estavam gravados no DVD 
oficial da eleição de 2014. 

A ABIN produz parte crítica do software embarcado nas urnas e o TSE não tem 
posse do código-fonte e fica sem condições de verificar a integridade do código execu¬ 
tável desenvolvido pela ABIN. 

A tecnologia usada no circuito de segurança MSD, presente nas urnas a partir do 
modelo 2009 (75% do total usado em 2014), pode tanto servir para dificultar a grava¬ 
ção de maiware no BIOS, como para esconder eventual maiware nele gravado . 

Ademais, o modo de implantação da tecnologia MSD abre oportunidade para que 
pessoas externas ao TSE, como os funcionários da ABIN, da empresa Diebold, da em¬ 
presa Módulo e das empresas contratadas pelo TSE e TRE para "exercitação das ur¬ 
nas" (dentre as quais se inclui a empresa Smartmatic) tenham, em tese, momentos de 
acesso ao software instalado em pontos críticos das urnas (BIOS e MSD) e nos siste¬ 
mas de preparação e geração de mídias, podendo, em tese, inserir " portas dos fun¬ 
dos " para posterior exploração. 

O mesmo ocorre com relação a uma vasta gama de funcionários da própria 
STI/TSE que têm acesso a pontos críticos do sistema, como a posse de chaves de veri¬ 
ficação, a compilação dos códigos e aos próprios códigos compilados. 

O risco de ataque interno é agravado porque o modelo de máquinas de votar é 
essencialmente DEPENDENTE do software e a validação do software não é viável pelas 
restrições impostas pela própria STI/TSE. 

As chaves de segurança que permitem a verificação da integridade do software 
estão gravadas (hardcoded) no próprio código compilado, causando uma falha de se¬ 
gurança, pois um software malicioso poderia, ao menos em tese, obter essas chaves 
para assinar arquivos de resultado falsos como se eles fossem gerados por urnas legí¬ 
timas. 


152 Rocha, A.R.C. et al. Relatório de Avaliação do Software TSE realizada pela Fundação COPPETEC. Brasília: 
COPPE/UFRJ, 09/08/2002 - http://www.angelfire.com/journal2/tatawilson/coppe-tse.pdfver resumo em: 
http://www.votoseguro.org/textos/relcoppetecl.htm 
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A falta de controle da STI sobre os compiladores utilizados caracteriza grande 
vulnerabilidade que poderia ser explorada por atacantes internos, sem deixar rastros 
que pudessem ser detectados em qualquer auditoria externa sobre o código-fonte ori¬ 
ginal. 

O uso de urnas com biometria torna ineficaz o §6^ do Art. 66 da Lei 9.504. que 
institui o Teste de Votação Paralela . 

A avaliação de riscos mostrou que os seguintes itens usados no desenvolvimento 
ou compondo o software da urna, se atacados por agentes de ameaça internos (cor¬ 
respondentes a funcionários, ex-funcionários, parceiros do TSE/STI) ou hackers associ¬ 
ados a algum agente interno, exporiam o software da urna a riscos catastróficos/gra¬ 
víssimos: compilador GCC GNU, certificados digitais usados, sistema operacional, pro¬ 
cesso de compilação, BIOS, rotinas de segurança do CEPESC, hardware de segurança 
(MSD), segurança dos aplicativos e software da urna para votação paralela. 

Esses riscos catastróficos/gravíssimos significam que a urna brasileira estaria vul¬ 
nerável a diversos tipos de ataques, desde atos de sabotagem para atrapalhar as elei¬ 
ções a atos que poderiam mudar os resultados de uma eleição e, pior, sem deixar ras¬ 
tros que poderiam detectar indícios de fraudes, como relatado anteriormente. 


p. 211 de 217 




7. RECOMENDAÇÕES 


Diante dos achados da auditoria e, principalmente, considerando as precárias 
condições de auditagem impostas pelo Tribunal Superior Eleitoral, recomenda-se: 


I. Promova-se o armazenamento, na cerimônia de assinatura digital, em ao me¬ 
nos duas mídias idênticas, de todos os programas, fonte ou compilados, utili¬ 
zados no desenvolvimento, funcionamento e compilação dos sistemas de in¬ 
formática, inclusive das bibliotecas de segurança do CEPESC e do firmware 

da BIOS e do circuito de segurança MSD das urnas eletrônicas; 

II. Promova-se, logo após a assinatura digital dos programas, à análise pericial 

de amostras das mídias, de forma a permitir a análise conteúdo e especifica¬ 
mente do código fonte do programa lacrado pelos técnicos da Justiça Eleito¬ 
ral, representantes dos partidos políticos, da OAB, do CREA, da SBC e do Mi¬ 
nistério Público Eleitoral, sendo que a análise poderia ser feita até depois da 
eleição durante seis meses; 

III. Permita-se, nas fases de verificação e acompanhamento do desenvolvimento 
dos sistemas de informática e após a realização da eleição, a utilização de 
qualquer programa de verificação desenvolvido ou adquirido pelos partidos 
políticos, garantido o prévio exame pela Justiça Eleitoral para identificação da 

ausência de código maliciosa ou perigo no programa que será utilizado; 

IV. Regulamente-se e promova-se a execução de testes LIVRES de penetração 

nas urnas eletrônicas para busca e confirmação de eventuais vestígios de vul¬ 
nerabilidades ou fraudes, sem restrições de acesso e de recursos, por investi¬ 
gadores nacionais ou estrangeiros indicados pelos Partidos Políticos e que o 
teste possa ser acompanhando pela STI mas que não seja coordenado nem 
regulamentado por membros da STI; 

V. Promova-se o desenvolvimento de estudos para implantar novo sistema de 

votação paralela adaptada ao sistema biométrico que respeite rigorosamente 

as condições normais de votação quanto a liberação do voto do eleitor; 

VI. Crie-se um órgão composto por representantes de todos os participantes do 

processo eleitoral para, de forma independente, acompanhar, ininterrupta¬ 
mente, todo o processo eleitoral; 
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VII. Promova-se a unificação do horário da eleição em todo o território nacional, 
considerando-se os horários previstos na legislação como o horário de Brasí¬ 
lia, a fim de se evitar atrasar e permitir o acompanhamento da divulgação dos 
resultados desde o primeiro momento; 

VIII. Promova-se a utilização de metodologia de desenvolvimento de software cer¬ 
tificada e apropriada para o desenvolvimento de software crítico, como é o da 
urna, incluindo o desenvolvimento de documentação completa do sistema e 
das salvaguardas de segurança, de modo a facilitar as atividades futuras de 

manutenção e evolução do sistema, bem como de auditoria interna e externa; 

IX. Promova-se a realização de testes por amostragem no seu parque de urnas a 

cada novo lote que seja adquirido, para acessar diretamente os dispositivos 
de memória e de firmware para verificar e atestar a ausência de qualquer pro¬ 
grama ou código malicioso que possa estar contido nas peças de fábrica, in¬ 
clusive BIOS e dispositivos de memória da urna, com acompanhamento de 
representados dos partidos políticos. Ministério Público e Ordem dos Advoga¬ 
dos do Brasil, do CREA e da SBC; 

X. Regulamente-se o voto impresso conferível pelo eleitor (VVPAT) com um Sis¬ 
tema Eletrônico de Votação que deverá atender, ao menos, aos seguintes 
Princípios e Controles: 

• Princípio da Publicidade - o eleitor tem o direito de ver e conferir o con¬ 
teúdo do registro digital do seu voto e os fiscais de candidato têm o direito 

de ver e acompanhar a contagem dos votos. 

• Princípio da Inviolabilidade Absoluta do Voto - inclusive sendo proibido 

que o equipamento de auxílio ã votação e o equipamento de auxílio ã iden¬ 
tificação dos eleitores tenham interconexões lógicas ou elétricas. 

• Princípio da Independência do Software - para que nenhum erro não 

detectado no software possa provocar erros indetectáveis no resultado ou 
violação sistemática do voto. 

• Direito a refutação - antes de deixar o local de votação, o eleitor pode re¬ 
futar o conteúdo do voto impresso e iniciar nova votação. 

• Auditoria Contábil Automática - determinar a quantidade de urnas que 

deverão ter seus votos impressos contados para comparação com o resul¬ 
tado do BU. A escolha dessas urnas deve ser necessariamente feita de¬ 
pois de encerrada a votação e de forma aleatória. 
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• Solução de Divergências - no caso de divergências entre os votos im¬ 
pressos e os digitais em uma urna, deve prevalecer os resultados da con¬ 
tagem dos votos impressos. 

• Auditoria do Software - determinar em que condições deve ser realizada 
uma auditoria completa e independente sobre o software eleitoral, após a 
eleição. 

• Boletim de Urna Impressos - determinar que o fechamento das portas 
dos locais de votação só deve ocorrer depois de disponibilizados aos fis¬ 
cais dos partidos as cópias dos BU impressos produzidos em cada seção 
eleitoral. 

XI. Promova-se a alteração das resoluções vigentes de forma a suplantar todos 
os obstáculos ã realização de auditoria plena para confirmação da confiabili¬ 
dade do sistema de votação eletrônico; 

XII. Permita-se acesso direto ao conteúdo das mídias das urnas para poder verifi¬ 
car sua integridade e a inexistências de dados inesperados; 

XIII. Permita-se acesso ao código-fonte completo, inclusive da ABIN e do firmware, 

com tempo suficiente e sem restrições de recursos operacionais; 

XIV. Permita-se realização de análise dinâmica do software, incluindo eventuais 

recompilações parciais e totais; 

XV. Permita-se analisar os compiladores e o ambiente de compilação utilizados; 

XVI. Permita-se conferir efetivamente a integridade dos executáveis, por meio de 

acesso livre aos dados gravados em mídias ou em firmware; 

XVII. Separe-se as funções eleitorais de administração, de regulamentação e de 

julgamento do contencioso de modo a garantir um processo isento, de acordo 

com os mais comezinhos princípios de governança; 

XVIII. Determine-se que qualquer procedimento de auditoria externa da votação, da 

apuração, da transmissão e da totalização dos votos deva ser realizado de 

forma independente do administrador eleitoral, não tendo este os poderes de 

limitá-lo ou de restringi-lo; 

XIX. Regulamentem-se os procedimentos de auditoria interna após as eleições, 
com estabelecimento de rotinas para documentação e processamento dos in¬ 
dícios de irregularidade no processo de votação, transmissão e totalização 
dos votos. 
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